CVE-2021-22005: Kritische File Upload kwetsbaarheid in VMware vCenter Server

24 september 2021

Bron: VMWare en Tenable
VMware heeft een advies gepubliceerd waarin 19 kwetsbaarheden worden aangepakt, waaronder een kritieke fout in vCenter Server die naar verluidt eenvoudig te misbruiken is.

Achtergrond

Op 21 september publiceerde VMware een beveiligingsadvies over 19 kwetsbaarheden in vCenter Server, de gecentraliseerde beheersoftware voor VMware vSphere-systemen. De volledige lijst met gepatchte kwetsbaarheden omvat:

CVEDescriptionCVSSv3
CVE-2021-22005vCenter Server file upload vulnerability9.8
CVE-2021-21991vCenter Server local privilege escalation vulnerability8.8
CVE-2021-22006vCenter Server reverse proxy bypass vulnerability8.3
CVE-2021-22011vCenter server unauthenticated API endpoint vulnerability8.1
CVE-2021-22015vCenter Server improper permission local privilege escalation vulnerabilities7.8
CVE-2021-22012vCenter Server unauthenticated API information disclosure vulnerability7.5
CVE-2021-22013vCenter Server file path traversal vulnerability7.5
CVE-2021-22016vCenter Server reflected XSS vulnerability7.5
CVE-2021-22017vCenter Server rhttpproxy bypass vulnerability7.3
CVE-2021-22014vCenter Server authenticated code execution vulnerability7.2
CVE-2021-22018vCenter Server file deletion vulnerability6.5
CVE-2021-21992vCenter Server XML parsing denial-of-service vulnerability6.5
CVE-2021-22007vCenter Server local information disclosure vulnerability5.5
CVE-2021-22019vCenter Server denial of service vulnerability5.3
CVE-2021-22009vCenter Server VAPI multiple denial of service vulnerabilities5.3
CVE-2021-22010vCenter Server VPXD denial of service vulnerability5.3
CVE-2021-22008vCenter Server information disclosure vulnerability5.3
CVE-2021-22020vCenter Server Analytics service denial-of-service Vulnerability5.0
CVE-2021-21993vCenter Server SSRF vulnerability4.3
Bron: VMware, September 2021

Naast het publiceren van het beveiligingsadvies, publiceerde VMware een blogpost en een “Vragen en antwoorden-post” waarin enkele fundamentele vragen over het advies worden behandeld. Van de 19 kwetsbaarheden kreeg alleen CVE-2021-22005 de severity (ernst) van kritiek (critical) toegewezen.

Source: Tenable, September 2021

Analyse

CVE-2021-22005 is een kwetsbaarheid voor het uploaden van bestanden in de vCenter Server. Een niet-geverifieerde aanvaller die toegang kan krijgen tot poort 443 via hetzelfde netwerk of rechtstreeks vanaf internet, kan misbruik maken van een kwetsbare vCenter Server door een bestand te uploaden naar de vCenter Server-analyseservice. Succesvolle exploitatie zou leiden tot uitvoering van externe code (RCE) op de host. In haar blogpost merkt VMware op dat dit beveiligingslek bestaat in vCenter Server “ongeacht de configuratie-instellingen”, waardoor dit standaard misbruikt kan worden in getroffen vCenter Server-installaties.

Hoewel de rest van de kwetsbaarheden die in de huidige release zijn gepatcht, niet kritiek zijn, zijn ze gelijk verdeeld over belangrijke en matige severity fouten. De overige kwetsbaarheden variëren, van escalatie van bevoegdheden en denial of service tot het vrijgeven van informatie en kwetsbaarheden voor pathtraversal. Deze fouten zullen waarschijnlijk waardevol zijn voor aanvallers, met name gelieerde ondernemingen van ransomware-groepen, die al op andere manieren een netwerk hebben gecompromitteerd.

Dit is de tweede keer in de afgelopen vier maanden dat VMware een patch uitbrengt voor een kritieke fout die vCenter/vSphere treft. In mei maakte VMWare CVE-2021-21985 bekend, een kwetsbaarheid voor het uitvoeren van externe code in vSphere Client van VMware. Beveiligingsonderzoeker Allan Liska tweette dat CVE-2021-21985 al is gebruikt als onderdeel van ransomware-aanvallen en dat CVE-2021-22005 “er nog erger uitziet”.

Onderzoekers benadrukken urgentie om te patchen omdat de kwetsbaarheid “triviaal is om uit te voeren”

Derek Abdine, chief technology officer van Censys, tweette dat hij het kwetsbare codepad voor deze kwetsbaarheid ontdekte en dat het “verbluffend triviaal lijkt om uit te voeren”. Als gevolg hiervan voegde Abdine eraan toe dat gebruikers “nu moeten patchen”.

Proof of Concept

Op het moment dat deze blogpost werd gepubliceerd, waren er nog geen publiek beschikbare proof-of-concept (PoC) scripts voor CVE-2021-22005. De waarschuwing van Abdine impliceert echter dat er binnenkort misschien PoC’s zullen verschijnen.

Oplossing

VMware heeft patches uitgebracht voor vCenter Server 7.0, 6.7 en 6.5 om de 19 kwetsbaarheden te verhelpen die in de advisory zijn bekendgemaakt. Raadpleeg de VMware advisory-pagina voor een volledig overzicht van welke CVE’s in elke release worden aangepakt.

Voor CVE-2021-22005 volgt hieronder een uitsplitsing van de versie van vCenter Server, de bijbehorende gerepareerde versie en de geadresseerde installatie.

Version of vCenter ServerFixed VersionInstallation
7.07.0 U2cAny
6.76.7 U3oVirtual Appliance

Let op: vCenter Server versie 6.7 voor Windows en versie 6.5 voor elke installatie worden niet beïnvloed door CVE-2021-22005.

Organisaties wordt ten zeerste aangeraden deze patches zo snel mogelijk toe te passen.

Als patchen op dit moment niet haalbaar is, heeft VMware workaround-instructies voor CVE-2021-22005 verstrekt. De workaround moet echter worden beschouwd als een tijdelijke oplossing en mag niet in de plaats komen van een upgrade naar een vaste versie.

Getroffen systemen identificeren

Een lijst van Tenable plugins om deze kwetsbaarheden te identificeren zal hier verschijnen zodra ze worden vrijgegeven. Onze MSS klanten worden door ons op de hoogte gebracht over de kwetsbare systemen en de eventueel mitigerende maatregelen.

Meer informatie

VMware