VMware: riscontrate due gravi vulnerabilità

Il 25 maggio 2021 VMware, azienda affiliata a Dell che si occupa di virtualizzazione dei server, ha notificato ufficialmente ai propri clienti il rilascio di due importanti aggiornamenti per far fronte a due gravi vulnerabilità. Queste falle di sicurezza riguardano vCenter Server, un servizio che consente la gestione delle macchine virtuali nei data center di grandi dimensioni, e VMware Cloud Foundation. Per comprendere la pericolosità delle vulnerabilità basti pensare che tale servizio consente di amministrare le soluzioni vSphere e EXSi, entrambe molto utilizzate in tutto il mondo.

In una nota ufficiale, VMware spiega che le problematiche sono state segnalate da utenti privati e l’azienda le ha subito riconosciute ufficialmente come critiche. Mediante queste falle di sicurezza era possibile eseguire codice in modalità remota a causa della mancanza di validazione degli input del plugin Virtual SAN Health Check, utilizzato di default sul client di vSphere. Coloro che riuscivano ad accedere tramite la porta 443 potevano quindi godere di privilegi illimitati.

L’altra vulnerabilità, invece, riguarda l’autenticazione in plugin di vSphere come lo stesso Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager e VMware Cloud Director Availability. Anche in questo caso, passando dalla porta 443, i malintenzionati potrebbero effettuare operazioni senza autenticazione.

Il punteggio di gravità delle due vulnerabilità assegnato dalla stessa VMware, che le ha identificate coi codici CVE-2021-21985 e CVE-2021-21986, è stato di 9,8 su 10 e 6,5 su 10. L’azienda ha poi sottolineato che è necessario agire con urgenza scaricando le patch di sicurezza, rilasciate nel giro di poche ore. Lo CSIRT, il team italiano per la sicurezza web, ha elencato con esattezza i prodotti e le versioni affette, ovvero:

VMware vCenter Server:

  • 7.0, versioni precedenti alla 7.0 U2b
  • 6.7, versioni precedenti alla 6.7 U3n
  • 6.5, versioni precedenti alla 6.5 U3p

VMware Cloud Foundation (vCenter Server):

  • 4.x, versioni precedenti alla 4.2.1
  • 3.x, versioni precedenti alla 3.10.2
In un articolo di ArsTechnica viene spiegato che già nel febbraio scorso era stata riscontrata una vulnerabilità con una gravità pari a 9,8 su 10. Per evitare problemi, CSIRT dà due consigli: non connettere alla rete vCenter Server e rendere disponibili le risorse esclusivamente agli admin. Un’ulteriore soluzione è quella della segmentazione degli accessi. Coloro che non riescono ad installare le patch di sicurezza possono anche trovare soluzioni alternative seguendo le linee guida fornite dalla stessa VMware (vedi link nelle fonti).