Kürzlich gab VMware bekannt, dass es eine Sicherheitslücke in den Plugins des vCenter Servers bekanntgeworden ist (CVE-2021-21985). Betroffen hiervon sind die folgenden vCenter Versionen:
- VMware vSphere 6.5
- VMware vSphere 6.7
- VMware vSphere 7.0
- VMware Cloud Foundation Versionen 3.x und 4.x
Was bedeutet diese Sicherheitslücke?
Ohne Gegenmaßnahmen ist es Angreifern möglich, über das vSAN Health Plugin (Siehe Link) des vSphere Clients (HTML5) Schadcode in das System zu übertragen und Root-Rechte zu erlangen. Diese Sicherheitslücke betrifft auch Kunden, die kein vSAN im Einsatz haben, denn das Plugin ist standardmäßig installiert und aktiviert. Um diese Sicherheitslücke zu schließen hat VMware für die betroffenen vCenter-Versionen jeweils ein Update für den vCenter-Server bereitgestellt. In diesem wird gleichzeitig auch eine weitere Sicherheitslücke (CVE-2021-21986) geschlossen. Diese wurde seitens VMware hingegen als moderat gefährlich bezeichnet und ist im verlinkten KB-Artikel ebenfalls aufgeführt.
Response-Matrix der betroffenen Versionen
| Produkt | Version | CVE Identifier | CVSSv3 | Einstufung | Behoben ab Version | Workarounds | Dokumentation |
|---|---|---|---|---|---|---|---|
| vCenter Server | 7.0 | CVE-2021-21985 | 9.8 | Kritisch | 7.0 U2b | KB83829 | FAQ |
| vCenter Server | 6.7 | CVE-2021-21985 | 9.8 | Kritisch | 6.7 U3n | KB83829 | FAQ |
| vCenter Server | 6.5 | CVE-2021-21985 | 9.8 | Kritisch | 6.5 U3p | KB83829 | FAQ |
| Produkt | Version | CVE-Identifier | CVSSv3 | Einstufung | Behoben ab Version | Workarounds | Dokumentation |
|---|---|---|---|---|---|---|---|
| Cloud Foundation (vCenter Server) | 4.x | CVE-2021-21985 | 9.8 | Kritisch | 4.2.1 | KB83829 | FAQ |
| Cloud Foundation (vCenter Server) | 3.x | CVE-2021-21985 | 9.8 | Kritisch | 3.10.2.1 | KB83829 | FAQ |
Möglicher Workaround (nur ohne aktives vSAN möglich)
Falls es nicht möglich sein sollte, das Update kurzfristig einzuspielen, gibt es einen Workaround, der in dem VMware KB-Artikel 83829 beschrieben wird. Dieser sieht vor in den betroffenen vCenter Versionen das schadhafte Plugin in den Dateien
/etc/vmware/vsphere-ui/compatibility-matrix.xmlbzw.
C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xmlüber einen Editor zu deaktivieren. Dies funktioniert allerdings nur, wenn Sie kein VMware vSAN im Einsatz haben.
Sollten Sie noch Fragen zum Schließen der Sicherheitslücke haben oder Unterstützung bei der der Umsetzung benötigen, sind wir gerne behilflich. Kontaktieren Sie gerne kurzfristig unseren Servicedesk oder Ihren Account Manager.
Weiterführende Informationen
https://www.vmware.com/security/advisories/VMSA-2021-0010.html
https://kb.vmware.com/s/article/83829
https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html
KOMMENTARE