• IT-Karriere:
  • Services:

Exploit verfügbar: VMware-Lücke ermöglicht Ausführen von Code als Root

Eine schwerwiegende Sicherheitslücke in der Virtualisierungslösung vCenter von VMware ermöglicht es Angreifern, den Server zu übernehmen.

Artikel veröffentlicht am ,
Bei vSphere konnte Code auch ohne Anmeldung ausgeführt werden. (Symbolbild)
Bei vSphere konnte Code auch ohne Anmeldung ausgeführt werden. (Symbolbild) (Bild: Darwin Laganzon auf Pixabay)

Eine Sicherheitslücke in der Virtualisierungslösung vSphere/vCenter Server von VMware ermöglicht das Ausführen von Code aus der Ferne (RCE). Der Sicherheitsforscher Mikhail Klyuchnikov von Positive Technologies hatte die Lücke (CVE-2021-21972) bereits im Oktober 2020 entdeckt und an VMware gemeldet, das nun ein Update zur Verfügung stellt. Auf Github ist bereits ein Exploit aufgetaucht.

Stellenmarkt
  1. Chemotechnik Abstatt GmbH, Abstatt
  2. MVV Energie AG, Mannheim

"Der Fehler erlaubt es einem nicht autorisierten Benutzer, eine speziell gestaltete Anfrage zu senden, die ihm später die Möglichkeit gibt, beliebige Befehle auf dem Server auszuführen", fasst Klyuchnikov die Auswirkungen der Sicherheitslücke zusammen, die er für "keine geringere Bedrohung als die berüchtigte Schwachstelle in Citrix (CVE-2019-19781) hält." Letztere wurde unter anderem für einen Ransomware-Angriff auf ein Krankenhaus in Düsseldorf genutzt.

In einer Testumgebung sendete Klyuchnikov unautorisierte Anfragen an das Webpanel des vSphere-Clients. Dabei entdeckte er, dass er ohne Autorisierung auf den Pfad, in dem die Plugins liegen, zugreifen konnte. Über diese war es ihm möglich - immer noch ohne Anmeldung am System -, ein .tar-Archiv an den Server zu senden, das anschließend in einem temporären Ordner entpackt wurde.

Über eine Directory-Traversal-Lücke zur Root-Shell in VMware vSphere

Allerdings wurden die Namen der entpackten Dateien nicht gefiltert. So war es dem Sicherheitsforscher möglich, auch Dateien mit der Zeichenfolge ../ zu erstellen und damit Dateien an beliebigen Orten des Dateisystem entpacken zu lassen - eine sogenannte Directory-Traversal-Lücke.

Golem Akademie
  1. Terraform mit AWS
    14./15. September 2021, online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Auf diese Weise konnte der Sicherheitsforscher ein Programm, genauer eine JSP-Shell, an einem von außen erreichbaren Ort hochladen. An die Shell konnten anschließend Kommandozeilenbefehle geschickt werden, die mit Administratorenrechten auf dem System ausgeführt wurden.

Unter Linux konnte Klyuchnikov kein Verzeichnis finden, welches das Ablegen und Ausführen von JSP-Dateien ermöglichte. Mit einem anderen Trick konnte er dennoch Befehle auf dem Server ausführen. Hierzu präparierte er ein .tar-Archiv auf die gleiche Weise, ließ jedoch seinen SSH-Schlüssel in das Authorized-Keys-File des Benutzers vsphere-ui schreiben. Anschließend konnte er sich per SSH als vsphere-ui am System anmelden und beliebige Befehle mit dessen Rechten ausführen.

Klyuchnikov hatte die Sicherheitslücke bereits am 2. Oktober 2020 an VMware gemeldet. Die Sicherheitslücke wurde am 23. Februar 2021 behoben und ein Update veröffentlicht. Dieses sollte umgehend eingespielt werden. Auf Github wurde bereits ein Exploit für die Sicherheitslücke veröffentlicht. Insbesondere die über das Internet erreichbaren vSphere-Instanzen sind daher einer konkreten Bedrohung ausgesetzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. 24-Stunden-Deals (u. a. Sony KD-77AG9 77 Zoll OLED für 2.477€ inkl. Direktabzug), Sandisk...
  2. 939€ (Bestpreis)
  3. 159€ (Bestpreis)
  4. (u. a. QNAP TS-231P3-2G NAS 2 Einschübe für 269€, QNAP TS-451D2-2G NAS 4 Einschübe für 399€)

Nigcra 27. Feb 2021 / Themenstart

Laut VMware wurde das CVE bereits im letzten Update gefixt und das war im November 2020...

Truster 26. Feb 2021 / Themenstart

Multiaccount? ;) Wenn er seinen Technikerpc nicht so einrichten darf, wie er es braucht...

Kommentieren


Folgen Sie uns
       


Samsung Galaxy S21 und S21 Plus vorgestellt

Die beiden Grundmodelle von Samsungs Galaxy-S21-Serie kommen ohne abgerundete Displays und mit bekannten Kameras.

Samsung Galaxy S21 und S21 Plus vorgestellt Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /