Exploit verfügbar: VMware-Lücke ermöglicht Ausführen von Code als Root

Eine Sicherheitslücke in der Virtualisierungslösung vSphere/vCenter Server von VMware ermöglicht das Ausführen von Code aus der Ferne (RCE). Der Sicherheitsforscher Mikhail Klyuchnikov von Positive Technologies hatte die Lücke (CVE-2021-21972) bereits im Oktober 2020 entdeckt und an VMware gemeldet, das nun ein Update zur Verfügung stellt. Auf Github ist bereits ein Exploit aufgetaucht.

"Der Fehler erlaubt es einem nicht autorisierten Benutzer, eine speziell gestaltete Anfrage zu senden, die ihm später die Möglichkeit gibt, beliebige Befehle auf dem Server auszuführen", fasst Klyuchnikov die Auswirkungen der Sicherheitslücke zusammen, die er für "keine geringere Bedrohung als die berüchtigte Schwachstelle in Citrix (CVE-2019-19781) hält." Letztere wurde unter anderem für einen Ransomware-Angriff auf ein Krankenhaus in Düsseldorf genutzt.

In einer Testumgebung sendete Klyuchnikov unautorisierte Anfragen an das Webpanel des vSphere-Clients. Dabei entdeckte er, dass er ohne Autorisierung auf den Pfad, in dem die Plugins liegen, zugreifen konnte. Über diese war es ihm möglich - immer noch ohne Anmeldung am System -, ein .tar-Archiv an den Server zu senden, das anschließend in einem temporären Ordner entpackt wurde.

Über eine Directory-Traversal-Lücke zur Root-Shell in VMware vSphere

Allerdings wurden die Namen der entpackten Dateien nicht gefiltert. So war es dem Sicherheitsforscher möglich, auch Dateien mit der Zeichenfolge ../ zu erstellen und damit Dateien an beliebigen Orten des Dateisystem entpacken zu lassen - eine sogenannte Directory-Traversal-Lücke.

Auf diese Weise konnte der Sicherheitsforscher ein Programm, genauer eine JSP-Shell, an einem von außen erreichbaren Ort hochladen. An die Shell konnten anschließend Kommandozeilenbefehle geschickt werden, die mit Administratorenrechten auf dem System ausgeführt wurden.

Unter Linux konnte Klyuchnikov kein Verzeichnis finden, welches das Ablegen und Ausführen von JSP-Dateien ermöglichte. Mit einem anderen Trick konnte er dennoch Befehle auf dem Server ausführen. Hierzu präparierte er ein .tar-Archiv auf die gleiche Weise, ließ jedoch seinen SSH-Schlüssel in das Authorized-Keys-File des Benutzers vsphere-ui schreiben. Anschließend konnte er sich per SSH als vsphere-ui am System anmelden und beliebige Befehle mit dessen Rechten ausführen.

Klyuchnikov hatte die Sicherheitslücke bereits am 2. Oktober 2020 an VMware gemeldet. Die Sicherheitslücke wurde am 23. Februar 2021 behoben und ein Update veröffentlicht. Dieses sollte umgehend eingespielt werden. Auf Github wurde bereits ein Exploit für die Sicherheitslücke veröffentlicht. Insbesondere die über das Internet erreichbaren vSphere-Instanzen sind daher einer konkreten Bedrohung ausgesetzt.