Vmware invita gli utenti di vCenter Server a installare le patch: diverse vulnerabilità espongono gli ambienti virtualizzati con vSan e gli ambienti Cloud Foundation al rischio di attacchi anche gravi. L’azienda ha prontamente avvisato i clienti, invitandoli ad aggiornare la piattaforma. Vmware vCenter Server è un software di gestione dei server, che funziona come portale gestionale per gli hypervisor vSphere ed ESXI. Chi avesse in uso la versione 6.5, 6.7 o 7.0 è invitato a installare le patch per risolvere due vulnerabilità, corrispondenti alle sigle CVE-2021-21985, CVE-2021-21986 e presenti all’interno di vSphere Client (HTML5).
La prima delle due, CVE-2021-21985, è la più grave, valutata con punteggio di 9,8 su 10. Questo bug consente attacchi di remote code execution attraverso un plugin di vSan in vCenter, che può essere sfruttato per eseguire qualsiasi tipo di codice sulla macchina host sottostante. Se anche vSan non viene usato dall’utente bersaglio, il pericolo rimane perché il plugin è attivato di default.
Poiché chi attacca ha bisogno soltanto di raggiungere la porta 443 per procedere con le operazioni, i controlli del firewall sono l’ultima linea di difesa. E se un’azienda ha posizionato i propri server vCenter su reti direttamente accessibili via Internet, anche quell’unica difesa può venire a mancare. Per risolvere questa vulnerabilità è necessario aggiornare vCenter o, se questo non fosse possibile, disattivare i plugin (qui Vmware spiega come fare).
La seconda vulnerabilità, CVE-2021-21986, è stata valutata da Vmware come di serverità moderata (6,5 su 10). Può consentire a chi attacca di eseguire senza autenticazione le azioni abilitate dai plugin, una volta guadagnato l’accesso alla porta 443 su vCenter Server. I plugin in questione sono Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager, e Vmware Cloud Director Availability.