ترمیم یک آسیب‌پذیری بسیار خطرناک در VMware vCenter

شرکت وی‌ام‌ور (VMware, Inc) ضعفی “حیاتی” (Critical) از نوع RCE (“اجرای کد به صورت از راه دور”) را در vCenter Server برطرف کرده که سوءاستفاده از آن به‌طور بالقوه کنترل سامانه آسیب‌پذیر را در اختیار مهاجم قرار می‌دهد.

در ادامه این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به جزییات فنی این آسیب‌پذیری و اصلاحیه عرضه شده برای آن پرداخته شده است.

به آسیب‌پذیری مذکور شناسه CVE-2021-21972 تخصیص داده شده است. سطح حساسیت آن نیز 9.8 از 10 – بر طریق استاندارد CVSSv3 – اعلام شده است.

اکسپلویت CVE-2021-21972 به‌صورت از راه دور و بدون نیاز به اصالت‌سنجی، با پیچیدگی کم ممکن گزارش شده است.

بر طبق توصیه‌نامه وی‌ام‌ور، vSphere Client (HTML5) شامل ضعفی در یک افزونه vCenter Server است. مهاجم با دسترسی شبکه‌ای به پورت 443 قادر به اکسپلویت کردن آن و اجرای فرامین با سطح دسترسی نامحدود بر روی سیستم عامل میزبان vCenter Server خواهد بود.

این آسیب‌پذیری در اکتبر 2020 توسط شرکت پازیتیو تکنالاجیز (Positive Technologies) به‌طور خصوصی به وی‌ام‌ور گزارش شده بود. پس ترمیم آن در 5 اسفند و در پی آن انتشار حداقل دو نمونه اثبات‌گر (PoC)، جزییات فنی آن نیز در قالب لینک زیر از سوی پازیتیو تکنالاجیز منتشر شد:

https://swarm.ptsecurity.com/unauth-rce-vmware/

به دلیل حساسیت بالا و ماهیت حیاتی این آسیب‌پذیری و از همه مهمتر انتشار جزییات فنی و نمونه‌های اثبات‌گر ارتقای فوری vCenter Server به یکی از نسخ زیر توصیه می‌شود:

7.0 U1c
6.7 U3l
6.5 U3n

نسخ بالا، یک ضعف امنیتی “متوسط” (Moderate) با شناسه CVE-2021-21973 را نیز در vCenter Server برطرف می‌کنند.

همچنین وی‌ام‌ور راهکار موقت (Workaround) زیر را برای آن دسته از راهبرانی که امکان ارتقای فوری vCenter Server را ندارند ارائه کرده است:

https://kb.vmware.com/s/article/82374

لازم به ذکر است که برخی منابع از پویش گسترده مهاحمان برای شناسایی سرورهای آسیب‌پذیر وی‌ام‌ور بر روی اینترنت خبر داده‌اند که می‌تواند نشانه‌ای از مورد اکسپلویت قرار گرفتن CVE-2021-21972 در آینده‌ای نزدیک باشد.

5 اسفند، وی‌ام‌ور ضعفی “مهم” (Important) از نوع Heap-overflow با شناسه CVE-2021-21974 را نیز در VMware ESXi ترمیم کرد که سوءاستفاده از آن در شرایطی امکان اجرای کد به‌صورت از راه دور را ممکن می‌کند.

توصیه‌نامه وی‌ام‌ور در لینک زیر قابل دریافت و مطالعه است:

https://www.vmware.com/security/advisories/VMSA-2021-0002.html