CERTFR-2021-ALE-011
Vulnerability from certfr_alerte

Le 25 mai 2021, VMware a publié un correctif pour la vulnérabilité CVE-2021-21985 affectant le greffon Virtual SAN Health Check qui est installé par défaut dans vCenter Server.

L'exploitation de cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire à distance avec un haut niveau de privilèges. De plus, des codes d'attaques sont disponibles publiquement pour la vulnérabilité CVE-2021-21985 et le CERT-FR a connaissance d'exploitations actives de celle-ci.

Le CERT-FR rappelle que les interfaces de gestion ne doivent pas être accessibles directement sur internet. Toutefois, le CERT-FR constate la disponibilité d'un certain nombre d'interfaces de gestion vCenter sur internet. A ce sujet, l'ANSSI a publié les guides suivants concernant l'accès sécurisé à distance :

Contournement provisoire

Dans la foire au questions concernant l'avis VMSA-2021-0010 (cf. section Documentation), VMware déconseille la désactivation du greffon vSAN pour des périodes prolongées.

L'application du correctif est donc la seule solution pour se protéger efficacement contre la vulnérabilité CVE-2021-21985.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Impacted products
Vendor Product Description
VMware vCenter Server vCenter Server versions 6.5 antérieures à 6.5 U3p
VMware vCenter Server Cloud Foundation (vCenter Server) versions 3.x antérieures à 3.10.2.1
VMware vCenter Server vCenter Server versions 7.0 antérieures à 7.0 U2b
VMware vCenter Server vCenter Server versions 6.7 antérieures à 6.7 U3n
VMware vCenter Server Cloud Foundation (vCenter Server) versions 4.x antérieures à 4.2.1
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "vCenter Server versions 6.5 ant\u00e9rieures \u00e0 6.5 U3p",
      "product": {
        "name": "vCenter Server",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "Cloud Foundation (vCenter Server) versions 3.x ant\u00e9rieures \u00e0 3.10.2.1",
      "product": {
        "name": "vCenter Server",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "vCenter Server versions 7.0 ant\u00e9rieures \u00e0 7.0 U2b",
      "product": {
        "name": "vCenter Server",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "vCenter Server versions 6.7 ant\u00e9rieures \u00e0 6.7 U3n",
      "product": {
        "name": "vCenter Server",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    },
    {
      "description": "Cloud Foundation (vCenter Server) versions 4.x ant\u00e9rieures \u00e0 4.2.1",
      "product": {
        "name": "vCenter Server",
        "vendor": {
          "name": "VMware",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2021-10-19",
  "content": "## Contournement provisoire\n\nDans la foire au questions concernant l\u0027avis VMSA-2021-0010\u00a0(cf. section\nDocumentation),\u00a0VMware d\u00e9conseille la d\u00e9sactivation du greffon vSAN pour\ndes p\u00e9riodes prolong\u00e9es.\n\nL\u0027application du correctif est donc la seule solution pour se prot\u00e9ger\nefficacement contre la vuln\u00e9rabilit\u00e9\u00a0CVE-2021-21985.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2021-21985",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-21985"
    }
  ],
  "initial_release_date": "2021-06-07T00:00:00",
  "last_revision_date": "2021-10-19T00:00:00",
  "links": [
    {
      "title": "Foire aux questions VMware concernant l\u0027avis VMware VMSA-2021-0010 du 25 mai 2021",
      "url": "https://core.vmware.com/resource/vmsa-2021-0010-faq"
    }
  ],
  "reference": "CERTFR-2021-ALE-011",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2021-06-07T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2021-10-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Le 25 mai 2021, VMware a publi\u00e9 un correctif pour la vuln\u00e9rabilit\u00e9\nCVE-2021-21985 affectant le greffon\u00a0Virtual SAN Health Check qui est\ninstall\u00e9 par d\u00e9faut dans vCenter Server.\n\nL\u0027exploitation de cette vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant non\nauthentifi\u00e9 d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance avec un haut niveau\nde privil\u00e8ges. De plus, des codes d\u0027attaques sont disponibles\npubliquement pour la vuln\u00e9rabilit\u00e9\u00a0CVE-2021-21985 et le CERT-FR a\nconnaissance d\u0027exploitations actives de celle-ci.\n\nLe CERT-FR rappelle que les interfaces de gestion ne doivent pas \u00eatre\naccessibles directement sur internet. Toutefois, le CERT-FR constate la\ndisponibilit\u00e9 d\u0027un certain nombre d\u0027interfaces de gestion vCenter sur\ninternet. A ce sujet, l\u0027ANSSI a publi\u00e9 les guides suivants concernant\nl\u0027acc\u00e8s s\u00e9curis\u00e9 \u00e0 distance :\n\n-   \u003chttps://www.ssi.gouv.fr/administration/guide/recommandations-de-securite-pour-les-architectures-basees-sur-vmware-vsphere-esxi/\u003e\n    (pour ESXi 5)\n-   \u003chttps://www.ssi.gouv.fr/administration/guide/securiser-ladministration-des-systemes-dinformation/\u003e\n    (de port\u00e9e plus g\u00e9n\u00e9rale)\n\n\u00a0\n\n\u00a0\n\n\u00a0\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans VMware vCenter Server",
  "vendor_advisories": [
    {
      "published_at": "2021-05-31",
      "title": "Bulletin d\u0027actualit\u00e9 CERT-FR CERTFR-2021-ACT-023",
      "url": "https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-023/"
    },
    {
      "published_at": "2021-05-25",
      "title": "Bulletin de s\u00e9curit\u00e9 VMware VMSA-2021-0010",
      "url": "https://www.vmware.com/security/advisories/VMSA-2021-0010.html"
    },
    {
      "published_at": "2021-05-26",
      "title": "Avis de s\u00e9curit\u00e9 CERT-FR CERTFR-2021-AVI-403",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-403/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.