von Nadia Meichtry

Am 23. Februar 2021 hat VMware einen Security Advisory veröffentlicht. Er weist darauf hin, dass VMware vCenter Server anfällig für eine RCE-Schwachstelle (Remote Code Execution) ist, die als kritisch eingestuft wurde. [1]

vCenter Server ist die Servermanagementsoftware von VMware, mit der virtuelle Maschinen und mehrere ESXi-Hosts von einer zentralen Plattform aus verwaltet werden können. [2] Ebenfalls betroffen von der Schwachstelle ist VMwares Produkt Cloud Foundation, in dem vCenter Server integriert ist.

Die Systeme sollten so schnell wie möglich aktualisiert werden. Eine aktive und weit verbreitete Ausnutzung durch Angreifer ist kurzfristig zu erwarten, da bereits Proof of Concepts (siehe [3]) existieren, um diese Sicherheitslücke auszunutzen. [4] Threat-Intelligence-Dienste berichten davon, dass internetweit Scans nach anfälligen vCenter-Servern laufen. [5]

Was bedeutet das nun?

Diese kritische Sicherheitslücke (CVE-2021-21972) im vRealize Operations (vROPs)-Plugin, das Teil der vSphere-Client-Komponente des vCenter-Servers ist, ermöglicht Remotecodeausführung. Sie kann von einem unauthentifizierten Angreifer mit Netzwerkzugriff auf Port 443 ohne Benutzerinteraktion ausgenutzt werden, um Befehle mit administrativen Rechten auf dem Betriebssystem auszuführen, das auf dem vCenter-Server läuft. [1]

Das betroffene Plugin ist in allen vCenter-Standardinstallationen vorhanden und nimmt Anfragen vom Netzwerk aus entgegen – damit ein Server angreifbar ist, muss vROPs nicht im Einsatz sein. [1]

Mikhail Klyuchnikov erklärt in seinem Blogbeitrag [6], wie er die Sicherheitslücke entdeckt hat und wie sie ausgenutzt werden kann:

Die Schwachstelle besteht im vROPs-Plugin, dessen Code von vSphere aus der Datei vropsplugin-service.jar eingebunden wird. Das Plugin war so konfiguriert, dass unauthentisierte Benutzer auf alle URLs zugreifen konnten, die es bereitstellt.

Die Funktion uploadOvaFile, die Anfragen am Endpunkt /ui/vropspluginui/rest/services/uploadova entgegennimmt, ermöglicht über den Parameter uploadFile das Hochladen von Archivdateien. Die hochgeladenen Daten werden als .tar-Archiv geöffnet und dessen Inhalte entpackt. Das Plugin filtert die Namen der Dateien im Archiv nicht, sondern übernimmt sie beim Entpacken unverändert. Deswegen können bösartige Archiveinträge erstellt werden, um beliebige Dateien in beliebige Ordner auf dem vSphere-Server zu schreiben – diese Angriffsmethode ist bekannt als Directory Traversal.

Zum Ausführen von Code auf Windows-basierten vSphere-Servern kann ein Angreifer eine .jsp-Web-Shell in einem .tar-Archiv hochladen und anschliessend über diese Shell beliebige Befehle auf dem Zielsystem ausführen. Auf Linux-Systemen kann ein öffentlicher Schlüssel (public key) für SSH-Authentifizierung in einem .tar-Archiv in den Home-Ordner des Benutzers vsphere-ui geschrieben und dann über SSH eine Verbindung zum Server hergestellt werden. [6]

Wie können sich Unternehmen gegen solche Angriffe schützen?

Von der Sicherheitslücke betroffene Produkte sind die Versionen 6.5, 6.7 und 7.0 von vCenter Server sowie die Cloud Foundation-Versionen 3.x und 4.x.

Es wird daher dringend empfohlen, ein Update auf die folgenden Versionen durchzuführen:

  • vCenter Server: Versionen 6.5U3n, 6.7U3l und 7.0U1c
  • Cloud Foundation: Versionen 3.10.1.2 und 4.2

Zwei weitere Sicherheitslücken (CVE-2021-21973 und CVE-2021-21974) werden mit diesen Patches ebenfalls behoben. [1]

Wenn die Patches nicht eingespielt werden können, wird empfohlen, den Workaround zu verwenden: Er besteht darin, das betroffene vROPs-Plugin zu deaktivieren, indem es in der Datei compatibility-matrix.xml eingetragen und dort als inkompatibel markiert wird. [7]

Generell sollten Administrationsoberflächen nicht aus dem Internet erreichbar sein. Dies ist normalerweise nicht notwendig und vergrössert die Angriffsfläche unnötig. Ausserdem sind die Folgen der Kompromittierung einer Administrationsoberfläche in der Regel kritischer als bei einer normalen Benutzeroberfläche. Der Zugriff auf Administrationsoberflächen sollte auf das interne Netzwerk beschränkt werden. Wenn dies nicht möglich ist, sollte der Netzwerkverkehr so gefiltert werden, dass nur autorisierte Systeme aus dem Internet Zugriff haben.

Präventiv wird empfohlen, einen zweiten Authentisierungsfaktor (2FA) einzusetzen. Dieser verhindert, dass kompromittierte Zugangsdaten unmittelbar weiterverwendet werden können.

Was sollte unternommen werden?

Zusätzlich zum Aktualisieren der Software oder zum Anwenden von Workarounds sollten die Protokolle des vCenter-Servers [8] auf Verbindungen von unbekannten oder unerwarteten Orten überprüft werden. Dies könnte darauf hinweisen, dass die Sicherheitslücke von Angreifern ausgenutzt wurde.

Die Zugriffsprotokolle sollten ebenfalls auf Spuren einer möglichen Ausnutzung der Schwachstelle überprüft werden. Wenn eine anfällige Version von vCenter Server verwendet wurde und insbesondere wenn Spuren einer Ausnutzung der Sicherheitslücke gefunden wurden, empfiehlt es sich dringend, die Zugangsdaten der Benutzer zu ändern.

Fragen an den Spezialisten

Penetration Tester

Nachfolgend erläutert Fabian Gonzalez, Team Leader Penetration Testing und Senior Penetration Tester, zwei Fragen aus der Sicht eines Red Teams, die im Zusammenhang mit dieser Schwachstelle interessant sind:

Was kann ein Angreifer anstellen?

Ein Angreifer kann unauthentisiert Dateien über die Weboberfläche von VMware vCenter hochladen. Dabei werden die Dateien im Kontext des Webserverbenutzers im Dateisystem gespeichert. Dadurch lassen sich, je nach Berechtigungen dieses Benutzers, Dateien an beliebigen Orten erstellen.

Angreifer besitzen somit die Möglichkeit, eine eigene Seite auf dem Server abzulegen, die beliebigen Code ausführt (häufig Web-Shell genannt), um darüber bösartige Befehle auszuführen. Weiter könnten kritische Konfigurationsdateien überschrieben werden. Zumindest bei einer Installation auf einem Windows-Server können damit Befehle als hoch privilegierter „SYSTEM“-Benutzer ausgeführt werden. Dadurch lässt sich der Server, auf dem das vCenter Web Interface läuft, vollständig kompromittieren.

Da in vielen Fällen die Weboberfläche von VMware vCenter über das Internet erreichbar ist, muss sich der Angreifer in einem solchen Fall nicht im internen Netzwerk befinden. Weiterhin besitzt er dadurch einen direkten Weg in das interne Netzwerk. Durch den Vollzugriff auf den vCenter-Server können weitere Systeme angegriffen werden. Beispielsweise wäre es unter Umständen möglich, entsprechende virtuelle Systeme anzugreifen, welche auf der VMware-Umgebung laufen. Schliesslich können auch entsprechende Servicebenutzer und sonstige Zugangsdaten, die auf dem Server zwischengespeichert sind, für weitere Zugriffe missbraucht werden.

Wie unterscheidet sich dieser Vorfall von einem erfolgreichen Phishing-Angriff?

Ein solcher Angriff benötigt keine Benutzerinteraktion und kann aus dem Internet durchgeführt werden, sofern die Weboberfläche öffentlich erreichbar ist. Der Angreifer hat, ohne Zugangsdaten kennen oder erraten zu müssen, administrativen Zugriff auf einen kritischen zentralen Server, der mit der gesamten VMware-Infrastruktur verbunden ist. Darüber hinaus können Angreifer je nach Konfiguration Zugriff auf virtuelle Maschinen erlangen.

IT-Forensik-Spezialist und Incident Responder

Nadia Meichtry, Digital Forensics und Incident Response Specialist, beantwortet drei Fragen aus der Sicht eines Blue Teams, die im Zusammenhang mit dieser Schwachstelle interessant sind:

Wie kann man feststellen, ob das Netzwerk kompromittiert wurde?

Wenn vCenter Server in Betrieb ist, kann zunächst mit einem Malwarescanner geprüft werden, ob über die uploadOvaFile-Funktion hochgeladene Dateien vorhanden sind und vom Scanner als bösartig erkannt werden.

In den Zugriffsprotokollen [8] des Servers wird nach Abfragen der URL /ui/vropspluginui/rest/services/uploadova und nach ungewöhnlichen Zugriffen gesucht, zum Beispiel zu einer unerwarteten Zeit oder aus einem unerwarteten Land. Auf Windows-Systemen kann dies in den Zugriffsprotokollen überprüft werden. Es ist auch möglich, nach Dateien zu suchen, die sich in letzter Zeit geändert haben. Auf Windows-Systemen wird in Webverzeichnissen des vCenter-Servers nach Web-Shells gesucht, ein mögliches Verzeichnis dafür ist C:\ProgramData\VMware\vCenterServer\data\perfcharts\tc-instance\webapps\statsreport\; auf Linux-Systemen nach neuen oder geänderten Dateien im Home-Verzeichnis der vSphere-Weboberfläche, in der Regel /home/vsphere-ui.

Wenn Zugangsdaten durch die Ausnutzung der Schwachstelle kompromittiert wurden, kann der Angreifer sie verwenden, um andere Systeme im Netzwerk zu kompromittieren. Dies kann auch in Zugriffsprotokollen erkannt werden und so darauf hinweisen, welche anderen Systeme erfolgreich angegriffen wurden.

Wie kann sich ein Unternehmen gegen solche Angriffe schützen?

Zunächst muss die Schwachstelle durch Installation der neuesten Version des Produkts behoben werden. Hierzu hat VMware bereits Patches auf neue Versionen bereitgestellt, in denen diese Schwachstelle behoben wurde. [1]

Um sich vor dem Missbrauch kompromittierter Zugangsdaten zu schützen, wird empfohlen, Zugänge mit einem zweiten Authentisierungsfaktor (2FA) abzusichern. Damit wird verhindert, dass sich Angreifer mit bekannten Zugangsdaten unmittelbar an Systemen anmelden können.

Zusätzlich sollte die Administrationsoberfläche nicht aus dem Internet erreichbar sein.

Darüber hinaus sollte das Netzwerk segmentiert werden, um die Bewegung von Angreifern im Netzwerk zu verhindern oder zumindest zu verlangsamen, falls sie die Sicherheitslücke erfolgreich ausnutzen können.

Die Schwachstelle wurde ausgenutzt und es kam zu einem Zugriff auf das Netzwerk. Was sind die nächsten Schritte?

Wenn die Sicherheitslücke erfolgreich ausgenutzt wurde und Angreifer Zugriff auf den Server erlangt haben, müssen alle Zugangsdaten sofort geändert werden, da sie potenziell kompromittiert sind.

Darüber hinaus sollten die Aktivitäten überwacht werden, die die Angreifer mit den kompromittierten Zugangsdaten durchgeführt haben, z. B. das Ausführen von Dateien oder das Herstellen von Verbindungen zu anderen Systemen. Dies kann auf andere kompromittierte Systeme hinweisen.

Alle Systeme, auf welche die Angreifer Zugriff hatten, sollten ebenfalls mit einem Malwarescanner geprüft werden.

Je nach Fall ist eine IT-forensische Untersuchung dieser Systeme und der Logs empfehlenswert, um die genauen Aktivitäten der Angreifer zu analysieren.

Fazit

Durch das Ausnutzen der Sicherheitslücke können Angreifer einfach administrativen Zugriff auf den vCenter-Server erlangen und sich von dort aus Zugriff zu anderen Systemen in verbundenen Netzwerken verschaffen. Es wird daher dringend empfohlen, ein Update durchzuführen oder den verfügbaren Workaround anzuwenden. Zudem sollten Untersuchungen zu einer möglichen Kompromittierung in die Wege geleitet werden, falls eine verwundbare Version von vCenter Server im Einsatz ist.

Grundsätzlich wird eine Inventarisierung aller IT-Komponenten im Netzwerk und deren regelmässige Überprüfung auf Schwachstellen empfohlen. Darüber hinaus sollte dafür gesorgt werden, dass sowohl Software als auch sämtliche Systeme stets auf dem neuesten Stand gehalten werden.

Über den Autor

Nadia Meichtry studierte forensische Wissenschaften an der Universität von Lausanne und schloss im Sommer 2020 ihren Master in digitaler Forensik ab. Während ihres Studiums absolvierte sie ein Praktikum im Forensik-Team der Kantonspolizei Waadt. Ihre Masterarbeit schrieb sie während eines 4-monatigen Praktikums in einem Cybersicherheitsunternehmen in Wien. Der Fokus ihrer Masterarbeit lag auf der Analyse der Firmware von IoT-Geräten. Im ersten Teil ihrer Arbeit beschäftigte sie sich mit der Schwachstellenbewertung von mehreren Versionen derselben Firmware durch den Einsatz verschiedener Schwachstellen-Scanner. Der zweite Teil befasste sich mit der forensischen Analyse von kompromittierten IoT-Geräten. Seit August 2020 ist Nadia Meichtry als Digital Forensics & Incident Response Specialist bei Oneconsult angestellt.

Über Oneconsult

Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr renommierter Schweizer Cyber Security Services Partner mit Büros in der Schweiz und Deutschland und 2000+ weltweit durchgeführten Security-Projekten.

Erhalten Sie kompetente Beratung vom inhabergeführten und herstellerunabhängigen Cyber Security-Spezialisten mit 40+ hochqualifizierten Cyber Security Experten, darunter zertifizierte Ethical Hacker / Penetration Tester (OPST, OPSA, OSCP, OSCE, GXPN), IT-Forensiker (GCFA, GCFE, GREM, GNFA), ISO Security Auditoren (ISO 27001 Lead Auditor, ISO 27005 Risk Manager, ISO 27035 Incident Manager) und dedizierte IT Security Researcher, um auch Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich zu bewältigen. Gemeinsam gehen wir Ihre externen und internen Bedrohungen wie Malware-Infektionen, Hacker-Attacken und APT sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Digital Forensics & Incident Response (DFIR) Expertenteams von Oneconsult zählen.

www.oneconsult.com