Exploit verfügbar: VMware-Lücke ermöglicht Ausführen von Code als Root

Eine schwerwiegende Sicherheitslücke in der Virtualisierungslösung vCenter von VMware ermöglicht es Angreifern, den Server zu übernehmen.

Artikel veröffentlicht am ,
Bei vSphere konnte Code auch ohne Anmeldung ausgeführt werden. (Symbolbild)
Bei vSphere konnte Code auch ohne Anmeldung ausgeführt werden. (Symbolbild) (Bild: Darwin Laganzon auf Pixabay)

Eine Sicherheitslücke in der Virtualisierungslösung vSphere/vCenter Server von VMware ermöglicht das Ausführen von Code aus der Ferne (RCE). Der Sicherheitsforscher Mikhail Klyuchnikov von Positive Technologies hatte die Lücke (CVE-2021-21972) bereits im Oktober 2020 entdeckt und an VMware gemeldet, das nun ein Update zur Verfügung stellt. Auf Github ist bereits ein Exploit aufgetaucht.

Stellenmarkt
  1. Abteilungsleiter Entwicklung / Charge Controller Software (m/w/d)
    Ebee Smart Technologies GmbH, Berlin-Schöneberg
  2. Linux Systemadministrator (m/w/d)
    Stiftung Kirchliches Rechenzentrum Südwestdeutschland, Eggenstein-Leopoldshafen
Detailsuche

"Der Fehler erlaubt es einem nicht autorisierten Benutzer, eine speziell gestaltete Anfrage zu senden, die ihm später die Möglichkeit gibt, beliebige Befehle auf dem Server auszuführen", fasst Klyuchnikov die Auswirkungen der Sicherheitslücke zusammen, die er für "keine geringere Bedrohung als die berüchtigte Schwachstelle in Citrix (CVE-2019-19781) hält." Letztere wurde unter anderem für einen Ransomware-Angriff auf ein Krankenhaus in Düsseldorf genutzt.

In einer Testumgebung sendete Klyuchnikov unautorisierte Anfragen an das Webpanel des vSphere-Clients. Dabei entdeckte er, dass er ohne Autorisierung auf den Pfad, in dem die Plugins liegen, zugreifen konnte. Über diese war es ihm möglich - immer noch ohne Anmeldung am System -, ein .tar-Archiv an den Server zu senden, das anschließend in einem temporären Ordner entpackt wurde.

Über eine Directory-Traversal-Lücke zur Root-Shell in VMware vSphere

Allerdings wurden die Namen der entpackten Dateien nicht gefiltert. So war es dem Sicherheitsforscher möglich, auch Dateien mit der Zeichenfolge ../ zu erstellen und damit Dateien an beliebigen Orten des Dateisystem entpacken zu lassen - eine sogenannte Directory-Traversal-Lücke.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Auf diese Weise konnte der Sicherheitsforscher ein Programm, genauer eine JSP-Shell, an einem von außen erreichbaren Ort hochladen. An die Shell konnten anschließend Kommandozeilenbefehle geschickt werden, die mit Administratorenrechten auf dem System ausgeführt wurden.

Unter Linux konnte Klyuchnikov kein Verzeichnis finden, welches das Ablegen und Ausführen von JSP-Dateien ermöglichte. Mit einem anderen Trick konnte er dennoch Befehle auf dem Server ausführen. Hierzu präparierte er ein .tar-Archiv auf die gleiche Weise, ließ jedoch seinen SSH-Schlüssel in das Authorized-Keys-File des Benutzers vsphere-ui schreiben. Anschließend konnte er sich per SSH als vsphere-ui am System anmelden und beliebige Befehle mit dessen Rechten ausführen.

Klyuchnikov hatte die Sicherheitslücke bereits am 2. Oktober 2020 an VMware gemeldet. Die Sicherheitslücke wurde am 23. Februar 2021 behoben und ein Update veröffentlicht. Dieses sollte umgehend eingespielt werden. Auf Github wurde bereits ein Exploit für die Sicherheitslücke veröffentlicht. Insbesondere die über das Internet erreichbaren vSphere-Instanzen sind daher einer konkreten Bedrohung ausgesetzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Feldversuch E-Mobility-Chaussee
So schnell bringen E-Autos das Stromnetz ans Limit

Das Laden von Elektroautos stellt Netzbetreiber auf dem Land vor besondere Herausforderungen. Ein Pilotprojekt hat verschiedene Lösungen getestet.
Ein Bericht von Friedhelm Greis

Feldversuch E-Mobility-Chaussee: So schnell bringen E-Autos das Stromnetz ans Limit
Artikel
  1. Encrochat-Hack: Damit würde man keinen Geschwindigkeitsverstoß verurteilen
    Encrochat-Hack
    "Damit würde man keinen Geschwindigkeitsverstoß verurteilen"

    Der Anwalt Johannes Eisenberg hat sich die Daten aus dem Encrochat-Hack genauer angesehen und viel Merkwürdiges entdeckt.
    Ein Interview von Moritz Tremmel

  2. Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
    Geforce Now (RTX 3080) im Test
    1440p120 mit Raytracing aus der Cloud

    Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
    Ein Test von Marc Sauter

  3. SpaceX: Starlink testet Satelliteninternet in Flugzeugen
    SpaceX
    Starlink testet Satelliteninternet in Flugzeugen

    Bald dürften mehrere Flugesellschaften Starlink-Service anbieten. Laut einem Manager soll es so schnell wie möglich gehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gaming-Monitore zu Bestpreisen (u. a. Samsung G9 49" 32:9 Curved QLED 240Hz 1.149€) • Spiele günstiger: PC, PS5, Xbox, Switch • Zurück in die Zukunft Trilogie 4K 31,97€ • be quiet 750W-PC-Netzteil 87,90€ • Cambridge Audio Melomonia Touch 89,95€ • Gaming-Stühle zu Bestpreisen [Werbung]
    •  /