Krytyczna podatność VMware vCenter wykorzystywana przez hackerów

Na czym polega problem?

Podatne wersje i komponenty VMware to vCenter Server 6.5, 6.7 oraz 7.0.

VMSA (VM Security Advisories) przedstawia dwa problemy, które zostały rozwiązane za pomocą najnowszej aktualizacji. Po pierwsze, we wtyczce vSAN, która jest dostarczana jako część vCenter Server, istnieje luka umożliwiająca zdalne wykonanie kodu. Luka może zostać wykorzystana przez każdego, kto może uzyskać dostęp do vCenter Server przez sieć, niezależnie od tego, czy korzystasz z vSAN, czy nie.

Po drugie, wprowadzono ulepszenia w strukturze wtyczek vCenter Server, aby lepiej wymusić uwierzytelnianie wtyczek. Ma to wpływ na niektóre wtyczki VMware, a także może spowodować, że niektóre wtyczki innych firm przestaną działać. Partnerzy VMware zostali powiadomieni i pracują nad testowaniem swoich wtyczek (większość nadal działa).

Co zrobić, by się ochronić?

Po pierwsze, jeśli możesz załatać vCenter Server, zrób to. Ogólnie jest to najszybszy sposób rozwiązania tego problemu, nie wymaga edytowania plików na vCenter Server Appliance (VCSA) i całkowicie usuwa lukę. Następnie możesz aktualizować inne wtyczki, gdy dostawcy wypuszczą nowe wersje.

Jeśli nie możesz od razu załatać luk i nie korzystasz z vSAN, istnieją obejścia w celu wyłączenia wtyczek. Wiąże się to z edycją pliku tekstowego na VCSA i ponownym uruchomieniem usług. Pamiętaj, aby ponownie włączyć te wtyczki po aktualizacji. Jeśli wyłączysz wtyczkę vSphere Lifecycle Manager w vSphere 7, utracisz tę funkcjonalność, dopóki nie zaktualizujesz vCenter Server z interfejsu zarządzania urządzeniami wirtualnymi (VAMI).

Jeśli korzystasz z Site Recovery, możesz wyłączyć powiązaną wtyczkę i kontynuować zarządzanie środowiskiem za pośrednictwem samego interfejsu Site Recovery.

Warto mieć w swoim środowisku inne systemy do kontroli bezpieczeństwa, które mogą pomóc w ochronie, dopóki poprawki nie zostaną zaktualizowane. Można na przykład wydzielić dostęp do interfejsów zarządzania vCenter tylko z określonych stacji roboczych i wprowadzić ich szczegółowy monitoring.

W erze ransomware najbezpieczniej jest założyć, że atakujący jest już gdzieś w sieci, na komputerze stacjonarnym, a być może nawet kontroluje konto użytkownika, dlatego zdecydowanie zalecamy jak najszybsze zadeklarowanie zmiany awaryjnej i łatanie VMware.

Porady dotyczące aktualizacji

vCenter Server to interfejs zarządzania dla vSphere, a ponowne uruchomienie go nie wpływa na dostępność maszyn wirtualnych, a jedynie na możliwości zarządzania. Jest to ważny punkt do przekazania menedżerom zmian, ponieważ mogą oni nie rozumieć, że wszystkie zasoby będą nadal działać.

Poniżej kilka innych przemyśleń, które pozwolą na zapewnienie sukcesu podczas łatania:

• Upewnij się, że Twoja organizacja ma poprawnie zapisane hasła konta root i [email protected] i konta te nie są zablokowane. Domyślnie konto root VCSA blokuje się po 90 dniach, co może być niepożądaną niespodzianką, jeśli potrzebujesz go w nagłym wypadku.
• Upewnij się, że ustawienia czasu w urządzeniu są prawidłowe. Wiele problemów z systemami można powiązać z nieprawidłową synchronizacją czasu. Opiekunowie oprogramowania NTP o otwartym kodzie źródłowym sugerują skonfigurowanie czterech serwerów NTP (nigdy dwóch – jeśli jeden się myli, nigdy nie wiadomo, który!).
• Upewnij się, że istnieje prawidłowo skonfigurowany rekord A (forward) i PTR (reverse) dla serwera vCenter Server w DNS. Rekordy PTR są wymagane dla vCenter Server i ich pomijanie nie jest akceptowaną praktyką bezpieczeństwa.
• Upewnij się, że kopia zapasowa i przywracanie oparte na plikach vCenter Server jest skonfigurowane i generuje zaplanowane dane wyjściowe. Można to skonfigurować za pomocą interfejsu zarządzania urządzeniem wirtualnym (VAMI) na porcie 5480/tcp w VCSA.