هشدار وی‌ام‌ور در خصوص باگ حیاتی vCenter

شبکه گستر

3 سال پیش

شرکت وی‌ام‌ور (VMware, Inc) با انتشار توصیه‌نامه، نسبت به وجود یک آسیب‌پذیری “حیاتی” در یکی از افزونه‌های پیش‌فرض vCenter Server هشدار داده است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده این آسیب‌پذیری مورد بررسی قرار گرفته است.

آسیب‌پذیری مذکور با شناسه CVE-2021-21985 ضعفی از نوع “اجرای کد به‌صورت از راه دور” (RCE) است که از عدم اعتبارسنجی صحیح ورودی‌های افزونه Virtual SAN Health Check ناشی می‌شود. افزونه مذکور به‌طور پیش‌فرض بر روی سرورهای vCenter فعال است.

شدت این آسیب‌پذیری 9.8 از 10 (بر طبق استاندارد CVSSv3) گزارش شده است.

vSAN، حتی در صورت فعال نبودن، نسخ 6.5، 6.7 و 7.0 سرور vCenter را در معرض خطر قرار می‌دهد.

vCenter، راهکار وی‌ام‌ور برای مدیریت سرورهای مجازی شده و ماشین‌های مجازی، از طریق یک کنسول واحد و متمرکز است.

سوءاستفاده از CVE-2021-21985 مهاجم را بدون نیاز به هر گونه اصالت‌سنجی قادر به اجرای کد به‌صورت از راه دور با بالاترین سطح دسترسی بر روی سیستم عامل میزبان vCenter می‌کند.

فراهم بودن دسترسی مهاجم به درگاه 443 سرور vCenter تنها لازمه سوءاستفاده موفق از این آسیب‌پذیری است.

باید توجه داشت که صرفاً غیرفعال کردن افزونه در vCenter مانع از سوءاستفاده از آن نخواهد شد و اگر امکان اعمال وصله‌ای که 4 اردیبهشت ماه منتشر شد فراهم نیست لازم است تا با مطالعه راهنمای فنی زیر این افزونه در وضعیت Incompatible قرار گیرد:

https://kb.vmware.com/s/article/83829

4 اردیبهشت، وی‌ام‌ور یک آسیب‌پذیری با شناسه CVE-2021-21986 و شدت حساسیت “متوسط” (Medium) را نیز در vCenter در وصله کرد. این آسیب‌پذیری از وجود اشکال در سازوکار اصالت‌سنجی (Authentication Mechanism Issue) در برخی افزونه‌های vCenter ناشی می‌شود.

در ماه فوریه هم وی‌ام‌ور باگ مشابه‌ای را که تمامی توزیع‌های vCenter را متاثر می‌کرد و از افزونه vRealize Operations – به اختصار vROps – ناشی می‌شد وصله کرد.

در این دوران فراگیری باج‌افزارها شاید همان‌طور که یکی از محققان وی‌ام‌ور پیشنهاد کرده مطمئن‌ترین کار، تصور حضور یک مهاجم در شبکه سازمان – به واسطه وجود یک دستگاه آلوده یا هک شدن یک حساب کاربری – باشد. در چنین شرایطی مشخص است که اعمال وصله در اسرع وقت چقدر اهمیت دارد.

جزییات بیشتر در خصوص آسیب‌پذیری‌های CVE-2021-21985 و CVE-2021-21986 در لینک زیر قابل مطالعه است:

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

همچنین مطالعه مستندات اشاره شده در لینک زیر به راهبران VMware vSphere توصیه می‌شود:

https://core.vmware.com/security-configuration-guide