Haavoittuvuuksia VMwaren tuotteissa - päivitä heti | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Haavoittuvuuksia VMwaren tuotteissa - päivitä heti

24. helmikuuta 2021 klo 12.28, päivitetty 6. helmikuuta 2023 klo 9.42

VMware julkaisi päivityksiä, jotka tulisi asentaa välittömästi, sillä niihin kohdistunutta aktiivista skannausta on jo havaittu. Haavoittuvuudet mahdollistavat esimerkiksi etänä suoritettavat komennot sekä mielivaltaisen ohjelmakoodin suorittamisen. Päivitys 6.2.2023: Haavoittuvuutta käytetään aktiivisesti hyväksi tietomurroissa. VMWare ESXi -ohjelmisto on syytä päivittää heti tai huolehtia siitä, ettei haavoittuva palvelu ole saavutettavissa internetistä. Kampanjan laajuuden vuoksi päivittämättömien palvelinten voi olettaa olevan murrettu.

Kriittinen haavoittuvuus CVE-2021-21972 koskee VMware vCenter Server -hallinta-alustaa, joka mahdollistaa etänä suoritettavien komentojen suorittamisen. 

Julkaistu vakava haavoittuvuus CVE-2021-21974 koskee ESXi OpenSLP -puskurin ylivuotoa. 

Päivitättehän VMware-tuotteenne välittömästi, etenkin jos, palvelu on saavutettavissa avoimesta internetistä. 

Haavoittuvuuden kohde

    
CVE-2021-21972  - CVSSv3 9.8
vCenter Server versiot 7.0, 6.7 ja 6.5
Cloud Foundation (vCenter Server) versiot 4.x ja 3.x

CVE-2021-21974 - CVSSv3 8.8
ESXi versiot 7.0, 6.7 ja 6.5
Cloud Foundation (ESXi) versiot 4.x ja 3.x

Mistä on kysymys?

CVE-2021-21972

vCenter 7.0 päivitys versioon 7.0 U1c tai uudempaan

vCenter 6.7 päivitys versioon 6.7 U3l tai uudempaan

vCenter 6.7 päivitys versioon 6.5 U3n tai uudempaan

Cloud Foundation (vCenter Server) 4.x päivitys versioon 4.2 tai uudempaan

Cloud Foundation (vCenter Server) 3.x päivitys versioon 3.10.1.2 tai uudempaan


CVE-2021-21974

ESXi 7.0 päivitys versioon ESXi70U1c-17325551 tai uudempaan

ESXi 6.7 päivitys versioon ESXi670-202102401-SG tai uudempaan

ESXi 6.5 päivitys versioon ESXi650-202102101-SG tai uudempaan

Cloud Foundation (ESXi) 4.x päivitys versioon 4.2 tai uudempaan

Cloud Foundation (ESXi) 3.x korjauksen asennus (ulkoinen linkki)

Mitä voin tehdä?

VMware julkaisi myös kiertotavat haavoittuuvuuden paikkaamiseen päivityksen sijaan: 

CVE-2021-21972
Ulkoinen linkki
 

CVE-2021-21974
Ulkoinen linkki

VMwaren tiedote (ulkoinen linkki)
Bleepingcomputerin artikkeli (ulkoinen linkki)

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

25. helmikuuta 2021 klo 15.05 Julkinen PoC ja aktiivista skannausta