VMware heeft een kritieke fout ontdekt in de HTML5 client voor zijn vSphere hybrid cloud suite. Gebruikers van het vSphere hybrid cloud pakket kunnen het beste zo snel mogelijk de patch installeren.
“De vSphere Client (HTML5) bevat een remote code execution kwetsbaarheid in een vCenter Server plugin”, zegt VMware in zijn waarschuwing. “Een aanvaller met netwerktoegang tot poort 443 kan misbruik maken van deze fout en commando’s uitvoeren met onbeperkte privileges op het onderliggende systeem dat vCenter Server herbergt.”
VMware heeft inmiddels een oplossing uitgebracht voor de kwetsbaarheid. Gebruikers van vSphere versies ouder dan 7.0 U1c, 6.7 U3I en 6.5 U3n kunnen het beste zo snel mogelijk de patch installeren. De uitgaven zijn al een aantal weken oud. Daardoor heeft een groot deel van de vSphere gebruikers de update reeds geïnstalleerd. VMware raadt ook gebruikers van Cloud Foundation 3.x en 3.4 aan om zo snel mogelijk te updaten naar de nieuwste versie.
Meer bugs in VMware producten
Naast de remote execution kwetsbaarheid, is er nog een fout gevonden in de HTML client van vSphere (CVE-2021-21973). Deze bug stelt aanvallers in staat om een POST request te sturen naar de vCenter Server plugin, wat zorgt voor een openbaarmaking van informatie. Om deze fout te verhelpen, moeten dezelfde versies van vSphere worden geüpdatet als bij de andere kwetsbaarheid.
Niet alleen in vSphere, maar ook in de ESXi hypervisor maakt VMware een bug (CVE-2021-21974) bekend. Een aanvaller die zich in hetzelfde netwerksegment bevindt als ESXi en toegang heeft tot poort 427 kan een heap-overflow issue activeren in de OpenSLP service, wat zorgt voor remote code execution. Ook voor deze bug heeft VMware een patch uitgebracht.
De twee bugs in de vSphere client werden ontdekt door Mikhail Klyuchnikov van Positive Technologies. Lucas Leong van het Zero Day Initiative van Trend Micro ontdekte de OpenSLP bug.