Schwere Sicherheitslücken, teils mit hohem Risiko bekannt geworden. Leider ist nicht für alles ein Update verfügbar!
In VMwares vSphere Web Client klaffen Sicherheitslücken, durch die Angreifer unter anderem an sensible Informationen gelangen könnten. Mit aktualisierten vSphere-Server-Versionen dichtet der Hersteller die Schwachstellen ab. Die Software Cloud Foundation (vCenter Server) 3.x ist ebenfalls betroffen. Dafür steht eine Aktualisierung dem Hersteller zufolge jedoch noch aus.
Die schwerwiegendste Schwachstelle tat sich dadurch auf, dass der vSphere Web Client ohne Autorisierung beliebige Dateien einlesen konnte (CVE-2021-21980). In Folge dessen könnten Angreifer mit Zugriff auf den Port 443 des vCenter Servers an sensible Informationen gelangen, erläutert VMware in seiner Sicherheitsmeldung. Das Risiko schätzt das Unternehmen als hoch ein und bewertet es mit einem CVSS-Score von 7.5.
Eine weitere Lücke mittleren Risikos steckte zudem im vSAN Web Client Plug-in des vSphere Web Client (CVSS 6.5). Sie ermöglichte es böswilligen Nutzern, eine sogenannte Server Side Request Forgery (SSRF) auszulösen. Dadurch könnte ein Angreifer den Server veranlassen, Anfragen an andere Systeme zu senden (CVE-2021-22049). Interessierten liefert der Punkt 10 des Hintergrundartikels zu den größten Risiken laut OWASP Top Ten 2021 nähere Details zu SSRF.
Leider gibt es nicht für alle Schwachstellen ein Update
Betroffen von den Lücken sind vCenter Server 6.5 und 6.7, für die die fehlerbereinigten Fassungen 6.5 U3r respektive 6.7 U3p bereitstehen. VMware hat sie in obiger Sicherheitsmeldung als Downloads verlinkt. Für das ebenfalls betroffene Cloud Foundation (vCenter Server) sei ein Patch demzufolge aber noch ausstehend. Die angebotenen Aktualisierungen sollten Administratoren umgehend installieren.
Sobald die Cloud Foundation-Updates verfügbar werden, solltest du auch diese so schnell wie möglich installieren. Gegebenenfalls lohnt sich auch ein Upgrade auf Cloud Foundation 4.x, da diese Version ebenso wie vCenter Server 7.0 dem Hersteller zufolge von den Lücken nicht betroffen ist.