Trotz Patch: Weiterhin Tausende VMware vCenter-Server angreifbar
Forscher von Trustwave ermitteln über 4000 anfällige Instanzen. Hacker können unter Umständen auf das Host-Betriebssystem eines vCenter-Servers zugreifen. Die benötigten Patches liegen bereits seit drei Wochen vor.
Forscher von Trustwave Spider Labs haben mithilfe der Gerätesuchmaschine Shodan 5271 Instanzen von VMware vCenter-Servern aufgespürt, die mit dem Internet verbunden sind. Auf mindestens 4181 dieser Server läuft eine ungepatchte Version der Management-Software. Sie ist anfällig für das Einschleusen und Ausführen von Schadcode aus der Ferne.
Die fraglichen Sicherheitslücken betreffen die Versionen vCenter Server 6.5.0 Build 17994927 und früher, vCenter Server 6.7.0 Build 18010531 und früher sowie vCenter Server 7.0.2 Build 17958471 und früher. Angreifer mit einem Zugang zum Netzwerk können über eine Schwachstelle im vSphere Client Befehle mit uneingeschränkten Privilegien ausführen und auf das Host-Betriebssystem für vCenter Server zuzugreifen. Die zweite Anfälligkeit wieder erlaubt es, über den Port 443 und ohne Authentifizierung die Kontrolle über Plug-ins zu übernehmen.
Allerdings waren die Forscher nur in der Lage, Daten von 4969 Servern abzurufen. Dabei fanden sie schließlich 4019 ungepatchte Instanzen, was einem Anteil von 80,88 Prozent entspricht. Die restlichen 19,12 Prozent seien wahrscheinlich ebenfalls als unsicher einzustufen, da auf ihnen veraltete und nicht mehr unterstützte Versionen liefen.
Die benötigten Sicherheitsupdates sind seit 25. Mai erhältlich. VMware rät seitdem zu einer “sofortigen” Installation der Patches. Allerdings warnt das Unternehmen auch, dass die Updates möglicherweise die Funktion von einigen Plug-ins von Drittanbietern einschränken. Sollte es nicht möglich sein, die Patches einzuspielen, sollten betroffene Nutzer zumindest die Plug-in-Funktion abschalten, um das Risiko eines erfolgreichen Angriffs zu minimieren.
Für die schwerwiegendere der beiden Anfälligkeiten liegt zudem inzwischen Beispielcode für einen Exploit vor. Die US-Cybersicherheitsbehörde CISA sah sich zudem genötigt, mit einer eigenen Sicherheitswarnung auf das Problem aufmerksam zu machen.