Thought Leadership
Am 21. September 2021 veröffentlichte das Unternehmen VMware Inc. Informationen zu insgesamt 19 Schwachstellen in den Produkten VMware vCenter Server (vCenter Server) und VMware Cloud Foundation.
VMware vCenter Server ist eine Servermanagementsoftware, welche von IT-Administratoren verwendet wird, um in VMware Infrastrukturen mehrere Virtualisierungs-Server, virtuelle Maschinen, Speicher und
Netzwerke zu verwalten. Die beschriebenen Sicherheitslücken wurden nach CVSS v3 (Common Vulnerability Scoring System) mit verschiedenen Kritikalitäten bewertet. Von besonderer Tragweite ist dabei vor allem die Schwachstelle CVE-2021-22005, die mit einem Wert von 9.8 als “kritisch” eingestuft wurde. Hierbei handelt es sich um eine Sicherheitslücke im Uploadservice des Analytics Service des VMware vCenter Servers der Versionen 6.7 und 7.0 sowie in den Versionen 4.x der Cloud Foundation. Ein nicht authentifizierter Angreifer mit Netzwerkzugriff auf den TLS-/SSL-Port 443 des VMware vCenter Servers hat dabei die Möglichkeit, eine manipulierte Datei hochzuladen um beliebigen Programmcode auf Betriebssystemebene ausführen zu können.
Bewertung
Dem BSI liegen zurzeit keine Informationen bzgl. einer aktiven Ausnutzung der Schwachstellen vor. VMware weist jedoch in einem Statement darauf hin, dass man sehr kurzfristig mit einer Ausnutzung und der Veröffentlichung von Exploit-Code rechne. Die Schwachstellen sind von hoher Relevanz, da sie in der Grundkonfiguration des VMware vCenter Servers vorliegen und eine vollständige Kompromittierung betroffener Systeme ermöglichen. Die Kritikalität wird durch die Art und Weise begünstigt, wie VMware vCenter Server die VMware Infrastruktur an zentraler Stelle miteinander verbindet. Nach einer erfolgreichen Kompromittierung des vCenter-Servers ist potenziell der Zugriff auf die verwalteten Virtualisierungs-Server, die virtuellen Maschinen, den zentralen Datenspeicher sowie das Netzwerk möglich. Bereits im Juni 2021 warnte das BSI entsprechend vor verwundbaren VMWare ESXi-Servern im Zusammenhang mit Ransomware-Angriffen.
Maßnahmen
Das BSI empfiehlt dringend, die aktuelle Version des VMware vCenter Servers einzuspielen, die am 21.09.2021 vom Hersteller veröffentlicht worden ist. Die aktuellen Sicherheitspatches können über das offizielle VMware Patch Download Center bezogen bzw. über die integrierte Update-Funktion des vCenter-Servers installiert werden. Sollte der Wechsel auf einen sicheren Versionsstand der Software nicht unmittelbar möglich sein, empfiehlt der Hersteller zeitnah einen temporären Workaround umzusetzen, bis die Sicherheitspatches installiert werden können. Das BSI empfiehlt zusätzlich die unten aufgeführten Maßnahmen umzusetzen, um einen umfangreichen Schutz in der Umgebung zu gewährleisten:
- Legen Sie Offline-Backups an und speichern Sie auch die Logdaten der VMWare ESXi-Server sicher auf zentralenSystemen ab.
- Deaktivieren Sie SSH auf den VMWare ESXi-Servern oder filtern Sie den Zugriff (z.B. per Firewall).
- Trennen Sie strikt zwischen VMWare-Administrationskonten und Microsoft Windows Domain-Administrationskonten.
- Führen Sie eine Netzwerksegmentierung mit restriktiven Paketfiltern ein (z.B. Administrationsnetzwerk,Arbeitsnetzwerk, Server-Netzwerk, etc.) und verwalten Sie VMware vCenter-Server aus einem separaten, besonders gehärteten Management-Netz heraus.
- .Verbieten Sie den direkten Internetzugriff von Administrations-Arbeitsplätzen aus.
- Verwenden Sie unterschiedliche Rechner und Accounts für die Administration und die normalen Arbeitsprozessedes IT-Personals.
- Ergänzend ist die Umsetzung weiterer Maßnahmen aus dem IT-Grundschutz-Kompendium zu prüfen.
www.bsi.bund.de
