در هفته گذشته، شرکت نرم افزاری VMWare سه وصله امنیتی مربوط به نقصی در سرور vCenter را منتشر کرده است. سرور vCenter به ادمینهای شبکه اجازه مدیریت و دسترسی به تمامی هاستها و ماشینهای مجازی شبکه را از طریق یک کنسول متمرکز میدهد.
نفوذگران با استفاده از این آسیبپذیری میتوانند بدون نیاز به داشتن لاگین و پسورد، بر روی زیرساخت مجازی و کلیه سرورها، کد دلخواه خود را اجرا کنند.
در آخرین به روزرسانی منتشر شده از سوی VMWare در ۵ اسفند، آسیبپذیری اجرای کد از راه دور بسیار خطرناک با درجه خطر ۹.۸ از ۱۰ با شناسه CVE-2021-21972 در سرویس vCenter رفع شده است.
برآوردها نشان میدهد که بیش از ۶۷۵۰ سرور آسیبپذیر vCenter در حال حاضر از طریق اینترنت در دسترس و در معرض خطر هستند. با توجه به اهمیت و موقعیت این گونه سرورها در ساختار شبکه، دسترسی به این سرورها به معنای دسترسی به بخش عظیمی از زیر ساخت سازمانها خواهد بود.
طبق گفته VMware، نفوذ مهاجمان از طریق آسیبپذیری در یک پلاگین با نام vRealize Operations) vROPs) که به صورت پیش فرض در کلاینتهای vSphere (HTML5) نصب میباشد، میسر میشود. نفوذگر با دسترسی به پورت ۴۴۳ امکان سوءاستفاده از این آسیبپذیری و اجرای دستورات از راه دور بدون نیاز به هیچ تاییدی از سوی کاربر و با بالاترین سطح دسترسی ممکن را دارا میباشد.
راهکار
در حال حاضر کد سوءاستفاده از این آسیبپذیری به صورت عمومی منتشر شده است که این موضوع نیاز به قطع اتصال vCenter از اینترنت در سریعترین زمان ممکن و پس از آن استفاده از جدیدترین نسخه vCenter را چند برابر میکند.
جهت دریافت اطلاعات بیشتر در مورد این آسیبپذیری و وصلههای منتشر شده و سایر اقدامات مورد نیاز برای رفع آن به مقاله آسیبپذیری خطرناک VMware vCenter Server (CVE-2021-21972) در پایگاه دانش پشتیبانی امنپرداز به نشانی https://kb.amnpardaz.com/2021/1076 مراجعه نمایید.
حتی در صورت اعمال وصله ارائه شده، توصیه اکید ما این است که هرگز سرویس vCenter را با توجه به حساسیت فوقالعاده آن روی اینترنت منتشر نکنید.
