VMware esorta i clienti ad applicare immediatamente la patch per chiudere una vulnerabilità critica di vCenter Server, l'interfaccia di gestione per gli ambienti vSphere. La falla, monitorata come CVE-2021-21985, influisce sul client vSphere, e in particolare sul plug-in Virtual SAN Health Check che è abilitato per impostazione predefinita in vCenter Server anche se il plug-in non viene effettivamente utilizzato.
Sfruttandola, un attaccante con accesso alla porta 443 può
eseguire comandi con privilegi elevati sul sistema operativo che ospita vCenter Server. Il problema è stato
chiuso con le versioni 6.5, 6.7 e 7.0 di vCenter Server. Con le stesse release aggiornate l'azienda ha chiuso anche la vulnerabilità CVE-2021-21986 di media gravità.
È correlata a un meccanismo di autenticazione per i plug-in Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager e VMware Cloud Director Availability. Sfruttandola, un cyber criminale non autenticato con accesso alla porta 443 può eseguire le azioni consentite dai plug-in interessati.
VMware ha pubblicato un
advisory, un
post sul blog e un documento con le
domande frequenti per queste vulnerabilità e ha esortato i clienti ad agire immediatamente, perché le conseguenze di questa vulnerabilità sono gravi. La prospettiva illustrata dal produttore è preoccupante: "
in questa era di ransomware è lecito presumere che un attaccante sia già all'interno della rete, nascosto in un desktop e forse anche con il controllo di un account utente. Ecco perché consigliamo vivamente di applicare la patch il prima possibile".
Vale la pena ricordare che a febbraio 2021 i criminali informatici iniziarono la scansione dei sistemi vCenter Server vulnerabili a una falla un giorno dopo la pubblicazione della patch. Non è stato un caso raro, anzi, ci sono esempi di attacchi che
hanno preso corso in meno di un'ora.
Oltre alla correzione di sicurezza, l'aggiornamento consigliato apporta alcuni miglioramenti all'autenticazione in nel framework del plug-in vCenter Server.