Kritische bug in VMWare Vcenter
Samenvatting: Vmware waarschuwt dat er een zeer kritische bug zit in Vcenter, de centrale beheerssoftware voor zijn VMware Vsphere platform. Iedereen die de software op de https-poort kan bereiken kan ze zonder veel moeite overnemen met alle gevolgen van dien.
Door de doorgedreven wet van Moore die (server)systemen steeds meer CPU en geheugen geeft, zijn we beginnen virtualiseren: op dezelfde serverhardware een tussenlaagje leggen dat ons instaat stelt meerder virtuele servers te gaan draaien op één stukje hardware. Het ontstaan van virtualisatie is één van de grote doorbraken met veel extra mogelijkheden die mee de ict-explosie van dit millenium aangestuurd heeft. Van virtual appliances die je toelaat snel te installeren, tot het ontstaan van Infrastructure-as-a-service cloud providers waar je voor een paar Euro per maand Enterprise internet server infrastructuur kan huren.
Helaas heeft deze technologie ook een paar verborgen monsters in de kast die ons kwetsbaarder hebben gemaakt en de hypervisors en virtualisatieplatformen die de grondstof vormen, tot geweldige doelwitten voor hackers hebben gemaakt.
Nu meldt één van de dominante providers van dit soort virtualisatie-software VMWare dat hun core-products zijn beheerssoftware Vsphere een security probleem heeft dat iedere snoodaard die in staat is deze machine via het netwerk, meer bepaald de https-poort te bereiken en een file op te laden gewoon kan overnemen met alle veiligheidsgevolgen voor de onderliggende virtuele machines en hun data van dien. Het is best een pittige bug want Mitre geeft het een score van 9,8/10. De systemen die kwetsbaar zijn, zijn ook de VMWare platforms 6.7 en 7 die op dit moment het meest courant gebruikt worden.
Het is ook één van die gedroomde lekken voor criminelen die graag de data van hun slachtoffers versleutelen met zogenaamde cryptolockers en we kunnen er vanuit gaan dat we weldra hele infrastructuren zien die via deze bug open en toegankelijk zijn te gaan versleutelen en het nodige losgeld te eisen. Wees gerust dat we hierover nog horror-verhalen gaan horen. En wees gerust mensen met een slecht karakter zullen er nog veel ergere dingen mee kunnen doen.
Wat moet je doen ?
Op korter termijn is het essentiëel om je VMware Vcenter zo snel mogelijk te patchen. Is het moeilijk om te patchen dan heeft VMware ook nog een andere workaround ter beschikking waarbij je een paar configuratie-bestanden moet aanpassen en het probleem is ook tijdelijk opgelost.
Op lange termijn is het mijns inziens belangrijk om eindelijk dit soort belangrijke infrastructuur en zijn beheersinterface structureel op netwerk-niveau te gaan afschermen van de buitenwereld in een zogenaamd Management Netwerk dat je dan van onbevoegden afschermt en enkel beheerders toelaat om er naar te connecteren. Meer technisch gezegd: stop de beheersinterface van je virtualisatie in een eigen management vlan en zorg door middel van firewalls, een Awingu security gateway of andere technieken dat enkel een beheerders er toegang toe kunnen hebben. Dit maakt dit soort securitybugs al een stuk moeilijker om te misbruiken.
Meer informatie :
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
Leave a Reply
Want to join the discussion?Feel free to contribute!