Alert!

Lücke in VMware vCenter Server und Cloud Foundation zum Teil abgedichtet

In VMwares vCenter Server und der Cloud Foundation klafft eine Sicherheitslücke in der Integrated Windows Authentication. Nun gibt es ein Software-Update.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Aufmacher Teil-Sicherheitsupdate VMware vCenter Server&Cloud Foundation

(Bild: Carlo Toffolo/Shutterstock.com)

Von

Acht Monate nach Bekanntwerden einer Sicherheitslücke in der Integrated Windows Authentication von VMware vCenter Server und Cloud Foundation stellt der Hersteller für eines der betroffenen Produkte ein Software-Update bereit. Die anderen Produkte lassen sich mit einem Workaround absichern. Angreifer könnten durch die Schwachstelle ihre Rechte erhöhen.

Der vCenter Server enthält laut der Beschreibung von VMware eine Lücke, durch die bösartige Nutzer mit nicht-administrativen Zugangsrechten ihre Privilegien ausweiten können. Der Fehler liege in dem Authentifizierungsmechanismus Integrated Windows Authentication (IWA) (CVE-2021-22048, CVSS 7.1, Risiko "hoch").

Als Gegenmaßnahme sollen IT-Verantwortliche auf andere Authentifizierungsmechanismen setzen. Es böten sich die AD über LDAPS-Authentifizierung oder Identity Provider Federation für AD FS (nur in vSphere 7.0) als sichere Alternativen an.

Betroffen sind VMware vCenter 6.5, 6.7 und 7.0 sowie die Cloud Foundation (vCenter Server) 3.x und 4.x. Vmware hat jetzt mit vCenter Server 7.0 U3f eine fehlerbereinigte Version veröffentlicht, mit der die IWA-Authentifizerung nutzbar ist. Die anderen Softwareversionen sollten bis zur Verfügbarkeit einer Aktualisierung auf den Workaround setzen und andere Authentifizierungsmechanismen nutzen.

VMware ist häufiges Angriffsziel von Cyberkriminellen. Zuletzt hat etwa die US-amerikanische Cyber-Sicherheitsbehörde CISA vor Attacken auf VMware-Sicherheitslücken gewarnt. Das Installieren von Updates für VMware-Produkte sollten Administratoren daher nicht lange aufschieben.

Mehr Infos

Themenseite zu VMware auf heise online

(dmk)