Ein Proof-of-Concept (PoC) Exploit wurde für eine kritische Schwachstelle im VMware vCenter Server veröffentlicht, die potenziell authentifizierte Remote Code Execution ermöglicht.

Die Schwachstelle, bekannt als CVE-2024-22274, betrifft die API-Komponenten des vCenter Servers und hat einen CVSSv3-Basiswert von 7.2, was sie in den Bereich der „Wichtigen“ Schweregrade einordnet.

Details zur Schwachstelle

Der Exploit zielt auf zwei spezifische API-Komponenten ab: „com.vmware.appliance.recovery.backup.job.create“ und „com.vmware.appliance.recovery.backup.validate“. Diese Komponenten sind anfällig für einen Flag Injection-Angriff, der genutzt werden kann, um beliebige Befehle als Root-Benutzer auf dem Zielsystem auszuführen.

Sicherheitsforscher Matei „Mal“ Badanoiu von Deloitte Romania, der die Schwachstelle an VMware gemeldet hat, demonstrierte den Exploit, indem er sich über SSH als Benutzer mit der Rolle „admin“ in die eingeschränkte Shell des vCenter Servers einloggte. Durch die Manipulation des „–username“-Feldes in bestimmten API-Befehlen konnte Badanoiu bösartige SSH-Flags injizieren und beliebige Befehle mit Root-Rechten ausführen.

Der PoC nutzt die Möglichkeit, neue lokale Benutzer mit SSH-Zugriff und Sudo-Rechten zu erstellen, und bietet so Angreifern einen Weg, die volle Kontrolle über das betroffene System zu erlangen.

Maßnahmen und Empfehlungen

VMware hat die Schwachstelle bestätigt und empfiehlt, dass Benutzer die in der Antwortmatrix aufgeführten Updates für betroffene Bereitstellungen anwenden. Derzeit sind keine Workarounds verfügbar, was die Bedeutung der schnellen Anwendung der Sicherheitspatches unterstreicht.

Diese Schwachstelle verdeutlicht die kritische Bedeutung der regelmäßigen Aktualisierung von Sicherheitsmaßnahmen in Virtualisierungsumgebungen. Organisationen, die VMware vCenter Server nutzen, wird dringend geraten, ihre Systeme zu überprüfen und die notwendigen Updates anzuwenden, um das Risiko einer potenziellen Ausnutzung zu mindern.

So überprüfen Sie die aktuelle Version Ihres vCenter Servers

Um die aktuelle Version Ihres vCenter Servers zu überprüfen, können Sie die folgenden Schritte ausführen:

  1. Anmeldung beim vSphere Client: Greifen Sie über die webbasierte vSphere Client-Oberfläche auf Ihren vCenter Server zu.
  2. Navigieren zur vCenter Server Appliance: Finden und wählen Sie in der Inventar-Baumstruktur Ihre vCenter Server Appliance aus.
  3. Überprüfung des Summary-Tabs: Im Summary-Tab sollten grundlegende Informationen zur Appliance angezeigt werden, einschließlich der Version.
  4. Versionsinformation anzeigen: Im Summary-Tab sollte eine Sektion die vCenter Server-Version anzeigen, normalerweise prominent mit Hauptversionsnummer und Build-Nummer.

Alternative Methode – Nutzung der Appliance-Shell:

  1. Verbindung zur vCenter Server Appliance Shell per SSH herstellen.
  2. Nach Verbindung folgenden Befehl ausführen: vpxd -v Dieser Befehl zeigt die vollständige Version und Build-Nummer Ihres vCenter Servers an.

Überprüfung über den Managed Object Browser (MOB):

  1. Zugriff auf den MOB durch Navigation zu https://<vcenter_server_ip>/mob im Webbrowser.
  2. Anmeldung mit administrativen Anmeldedaten.
  3. Navigation zu content > about.
  4. Suche nach der „version“-Eigenschaft, die die vollständige Versionsnummer anzeigt.

Im Kontext der Schwachstelle CVE-2024-22274 betrifft die verwundbare Version 8.0.0.10200. Wenn Ihr vCenter Server diese Version oder eine frühere Version ausführt, ist er möglicherweise anfällig, und Sie sollten die von VMware bereitgestellten Sicherheitsupdates so schnell wie möglich anwenden.