WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
VMware cảnh báo lỗ hổng thực thi mã từ xa trong vCenter
Nếu tấn công truy cập cổng 443, hacker có thể thực thi bất kỳ mã nào chúng muốn trên hệ điều hành máy chủ nhờ vào lỗ hổng trong vCenter.
VMware đang kêu gọi người dùng vCenter cập nhật vCenter Server phiên bản 6.5, 6.7 và 7.0 ngay lập tức, sau khi lỗi báo cáo riêng cho công ty.
Nghiêm trọng nhất là CVE-2021-21985, liên quan đến lỗ hổng thực thi mã từ xa trong một plugin vSAN được kích hoạt theo mặc định trong vCenter mà hacker có thể sử dụng để chạy bất cứ thứ gì chúng muốn, miễn là truy cập vào cổng 443.
Ngay cả khi người dùng không sử dụng vSAN, họ vẫn có thể bị ảnh hưởng vì plugin vSAN được bật mặc định.
"Ứng dụng vSphere (HTML5) chứa lỗ hổng thực thi mã từ xa do thiếu xác thực đầu vào trong trình Kiểm tra sức khỏe SAN ảo được bật theo mặc định trong Máy chủ vCenter", VMware mô tả vấn đề trong khuyến cáo.
Trong FAQ, VMware đã cảnh báo rằng vì kẻ tấn công chỉ cần có thể truy cập vào cổng 443 để tiến hành cuộc tấn công, các điều khiển tường lửa là tuyến phòng thủ cuối cùng cho người dùng.
Để khắc phục sự cố, VMware khuyến nghị người dùng cập nhật vCenter hoặc nếu không thể, công ty đã cung cấp hướng dẫn về cách vô hiệu hóa các plugin vCenter Server.
Lỗ hổng thứ hai, CVE-2021-21986, sẽ cho phép kẻ tấn công thực hiện các hành động được các plugin cho phép mà không cần xác thực.
“VSphere Client (HTML5) có lỗ hổng trong cơ chế xác thực vSphere cho Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager và VMware Cloud Director Av plug-in có sẵn,” VMware cho biết.
Đầu năm nay, một cặp lỗ hổng ESXi đã được các băng nhóm ransomware sử dụng để chiếm các máy ảo và mã hóa ổ cứng ảo.
VMware đang kêu gọi người dùng vCenter cập nhật vCenter Server phiên bản 6.5, 6.7 và 7.0 ngay lập tức, sau khi lỗi báo cáo riêng cho công ty.
Nghiêm trọng nhất là CVE-2021-21985, liên quan đến lỗ hổng thực thi mã từ xa trong một plugin vSAN được kích hoạt theo mặc định trong vCenter mà hacker có thể sử dụng để chạy bất cứ thứ gì chúng muốn, miễn là truy cập vào cổng 443.
Ngay cả khi người dùng không sử dụng vSAN, họ vẫn có thể bị ảnh hưởng vì plugin vSAN được bật mặc định.
"Ứng dụng vSphere (HTML5) chứa lỗ hổng thực thi mã từ xa do thiếu xác thực đầu vào trong trình Kiểm tra sức khỏe SAN ảo được bật theo mặc định trong Máy chủ vCenter", VMware mô tả vấn đề trong khuyến cáo.
Trong FAQ, VMware đã cảnh báo rằng vì kẻ tấn công chỉ cần có thể truy cập vào cổng 443 để tiến hành cuộc tấn công, các điều khiển tường lửa là tuyến phòng thủ cuối cùng cho người dùng.
Lỗ hổng thứ hai, CVE-2021-21986, sẽ cho phép kẻ tấn công thực hiện các hành động được các plugin cho phép mà không cần xác thực.
“VSphere Client (HTML5) có lỗ hổng trong cơ chế xác thực vSphere cho Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager và VMware Cloud Director Av plug-in có sẵn,” VMware cho biết.
Đầu năm nay, một cặp lỗ hổng ESXi đã được các băng nhóm ransomware sử dụng để chiếm các máy ảo và mã hóa ổ cứng ảo.
Nguồn: ZDNet