Wer Server betreibt und diese über VMWares Plattform vCenter managt, sollte dringend sicherstellten, dass diese mit den neuesten Updates versorgt und sicher konfiguriert ist. Denn ein standardmäßig aktiviertes Plugin ist von einer schweren Sicherheitslücke betroffen, das es für ein leichtes Ziel für Angreifer macht.

Das Leck trägt die Kennung CVE-2021-21985 und wird laut verschiedenen Sicherheitsexperten auch bereits ausgenutzt, berichtet Ars Technica. Auf der Risiko-Skala hat es eine Einstufung von 9,8 von 10 Punkten erhalten, gilt also als sehr kritisch.

Codeausführung mit einem Klick

Das betroffene Plugin ist SAN Healthcheck, das in der Standardkonfiguration aktiviert ist. Lässt sich dieses von außen über den Port 443 ansprechen, so können Angreifer die Schwachstelle nutzen, um ohne Authentifizierung Code auf dem Server ausführen zu lassen. Das kann ihnen ermöglichen, bösartige Software darauf zu deponieren oder überhaupt gleich eine Web Shell einzurichten, um den Server fernzusteuern.

Die Aktivität der Cyberkriminellen in diesem Bezug soll in den letzten Tagen deutlich zugenommen haben. Mittlerweile werden Server offenbar routinemäßig auf vCenter-Installationen mit ansprechbarem Port 443 gescannt. Mittlerweile sind Skripte im Umlauf, über welche die Codeausführung auf den Zielservern automatisiert wird.

Anfällig sind alle vCenter-Systeme, die noch nicht am neusten Update-Stand sind und die SAN Healtcheck in der Standardkonfiguration nutzen. VMWare hat bereits am 25. Mai Patches veröffentlicht, die das Problem beseitigen. (red, 6.6.2021)