هشدار ویامور در خصوص باگ حیاتی vCenter
شرکت ویامور (VMware, Inc) با انتشار توصیهنامه، نسبت به وجود یک آسیبپذیری “حیاتی” در یکی از افزونههای پیشفرض vCenter Server هشدار داده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده این آسیبپذیری مورد بررسی قرار گرفته است.
آسیبپذیری مذکور با شناسه CVE-2021-21985 ضعفی از نوع “اجرای کد بهصورت از راه دور” (RCE) است که از عدم اعتبارسنجی صحیح ورودیهای افزونه Virtual SAN Health Check ناشی میشود. افزونه مذکور بهطور پیشفرض بر روی سرورهای vCenter فعال است.
شدت این آسیبپذیری 9.8 از 10 (بر طبق استاندارد CVSSv3) گزارش شده است.
vSAN، حتی در صورت فعال نبودن، نسخ 6.5، 6.7 و 7.0 سرور vCenter را در معرض خطر قرار میدهد.
vCenter، راهکار ویامور برای مدیریت سرورهای مجازی شده و ماشینهای مجازی، از طریق یک کنسول واحد و متمرکز است.
سوءاستفاده از CVE-2021-21985 مهاجم را بدون نیاز به هر گونه اصالتسنجی قادر به اجرای کد بهصورت از راه دور با بالاترین سطح دسترسی بر روی سیستم عامل میزبان vCenter میکند.
فراهم بودن دسترسی مهاجم به درگاه 443 سرور vCenter تنها لازمه سوءاستفاده موفق از این آسیبپذیری است.
باید توجه داشت که صرفاً غیرفعال کردن افزونه در vCenter مانع از سوءاستفاده از آن نخواهد شد و اگر امکان اعمال وصلهای که 4 اردیبهشت ماه منتشر شد فراهم نیست لازم است تا با مطالعه راهنمای فنی زیر این افزونه در وضعیت Incompatible قرار گیرد:
https://kb.vmware.com/s/article/83829
4 اردیبهشت، ویامور یک آسیبپذیری با شناسه CVE-2021-21986 و شدت حساسیت “متوسط” (Medium) را نیز در vCenter در وصله کرد. این آسیبپذیری از وجود اشکال در سازوکار اصالتسنجی (Authentication Mechanism Issue) در برخی افزونههای vCenter ناشی میشود.
در ماه فوریه هم ویامور باگ مشابهای را که تمامی توزیعهای vCenter را متاثر میکرد و از افزونه vRealize Operations – به اختصار vROps – ناشی میشد وصله کرد.
در این دوران فراگیری باجافزارها شاید همانطور که یکی از محققان ویامور پیشنهاد کرده مطمئنترین کار، تصور حضور یک مهاجم در شبکه سازمان – به واسطه وجود یک دستگاه آلوده یا هک شدن یک حساب کاربری – باشد. در چنین شرایطی مشخص است که اعمال وصله در اسرع وقت چقدر اهمیت دارد.
جزییات بیشتر در خصوص آسیبپذیریهای CVE-2021-21985 و CVE-2021-21986 در لینک زیر قابل مطالعه است:
https://www.vmware.com/security/advisories/VMSA-2021-0010.html
همچنین مطالعه مستندات اشاره شده در لینک زیر به راهبران VMware vSphere توصیه میشود:
https://core.vmware.com/security-configuration-guide