Upozorňujeme na závažnou zranitelnost na vCenter Server Appliance známou pod identifikátorem CVE-2021-22005. Společnost VMware nalezla slabinu ve svém produktu, sloužícím pro správu virtualizační infrastruktury 21. září. Libovolný škodlivý kód může na vCenter Serveru spustit útočník s přístupem na port 443 za pomocí nahrání speciálně upraveného souboru do služby Analytics service.

Proof-of-concept zatím není veřejně dostupný. Zranitelnost je však v současné době aktivně zneužívána a její skóre CVSSv3 dosahuje hodnoty 9.8. Bylo detekováno i plošné skenování z několika adres viz https://twitter.com/bad_packets/status/1440893196993634307.

Všem správcům dotčených systémů doporučujeme bezodkladně aktualizovat systém na opravenou verzi. Pokud není aktualizace možná, doporučujeme alespoň aplikovat workaround dle návodu dostupného na stránkách společnosti VMware: https://kb.vmware.com/s/article/85717

Produkt: VMware vCenter Server

Vektor zneužití: vCenter rozhraní dostupné na portu 443

Zranitelné verze: 6.7+, 7.0+, 3.x (Cloud foundation), 4.x (Cloud Foundation)

Opravené verze: 6.7 U3o,  7.0 U2c, KB85719 (3.10.2.2), KB85718 (4.3)

Reference:

https://www.blumira.com/vmware-cve-2021-21972/

https://www.bleepingcomputer.com/news/security/hackers-exploiting-critical-vmware-vcenter-cve-2021-22005-bug/

https://www.vmware.com/security/advisories/VMSA-2021-0020.html

https://us-cert.cisa.gov/ncas/current-activity/2021/09/24/vmware-vcenter-server-vulnerability-cve-2021-22005-under-active