Датацентры по всему миру столкнулись с проблемой в виде уязвимости удалённого выполнения кода в широко используемом продукте VMware. VMware обнаружила и закрыла уязвимость во вторник. Она находится в vCenter Server, который используется для управления виртуализацией в крупных центрах обработки данных. vCenter Server применяется для администрирования хост-продуктов VMware vSphere и ESXi. Некоторые рейтинги утверждают, что это первое и второе по популярности решения виртуализации на рынке. Сайт бизнес-аналитики Enlyft показывает, что vSphere используют более 43000 организаций.
В сообщении VMware говорится, что машины vCenter с конфигурацией по умолчанию имеют ошибку, которая во многих сетях позволяет выполнять вредоносный код. Эти машины доступны через открытый для интернета порт. Уязвимость получила номер CVE-2021-21985 и имеет оценку опасности 9,8 из 10.
«Клиент vSphere (HTML5) содержит уязвимость удалённого выполнения кода из-за отсутствия проверки ввода в подключаемом модуле Virtual SAN Health Check, который по умолчанию включен в vCenter Server. По оценке VMware, серьёзность этой проблемы находится в критическом диапазоне с максимальной базовой оценкой CVSSv3 9,8. Злоумышленник с сетевым доступом к порту 443 может использовать эту уязвимость для выполнения команд с неограниченными привилегиями в основной операционной системе, на которой размещён vCenter Server».
Это серьёзная уязвимость, поэтому организациям следует закрыть или ограничить доступ к серверу vCenter для авторизованных администраторов.
Служба каталогизации доступных в интернете сайтов Shodan показывает, что существует почти 5600 общедоступных компьютеров vCenter. Большинство или даже все они находятся в крупных датацентрах, где потенциально могут храниться терабайты конфиденциальных данных. Shodan показывает, что основными пользователями доступных в интернете серверов vCenter являются Amazon, Hetzner Online GmbH, OVH SAS и Google.
CVE-2021-21985 - вторая уязвимость vCenter в этом году с рейтингом 9,8. В течение суток после того, как VMware закрыла уязвимость в феврале, как минимум из шести различных источников появились экспериментальные эксплоиты. Раскрытие информации вызвало масштабное сканирование интернета, когда злоумышленники и борцы с ними искали уязвимые серверы.
Затронуты версии vCenter 6.5, 6.7 и 7.0.
