vCenter Server

Die Schwachstelle steckt im vSphere Client, der webbasierten HTML5-Verwaltungsoberfläche von VMware vCenter Server – der zentralen Software zur Verwaltung virtualisierter Umgebungen. Ursache ist eine fehlende Eingabeprüfung im Plug-in für die Zustandsüberwachung von Virtual SAN (Virtual SAN Health Check), das in vCenter Server standardmäßig aktiv ist. Ein Angreifer benötigt lediglich Netzwerkzugriff auf den HTTPS-Verwaltungsport. Über diesen kann er manipulierte Eingaben einschleusen und auf dem zugrunde liegenden Betriebssystem, das vCenter Server beherbergt, beliebige Befehle ausführen – und zwar mit uneingeschränkten Rechten, also der vollständigen Kontrolle über das System. Eine Anmeldung ist dafür nicht erforderlich. Besonders schwer wiegt, dass das anfällige Plug-in ohne Zutun des Betreibers aktiviert ist und vCenter Server als Verwaltungszentrale die gesamte Virtualisierungsumgebung steuert: Wer den Server übernimmt, erhält damit potenziell Zugriff auf die darunter betriebenen virtuellen Maschinen.