Beveiligingslek in vSphere 6.5, 6.7 en 7.0 en VCF 3.x / 4.x (ESXi)

Berry RijnbeekNieuws

Hier volgt een belangrijke mededeling over een beveiligingslek in vSphere 6.5, 6.7 en 7.0 en VCF 3.x / 4.x (ESXi). In security bulletin VMSA-2020-0023 heeft VMware melding gemaakt van een beveiligingslek in ESXi. Het betreft een probleem met de service OpenSLP (Service Location Protocol). Voor kwaadwillenden die toegang kunnen verkrijgen tot de management-interface van de ESXi host, kan dit beveiligingslek worden misbruikt om een RCE (Remote Command Execution) sessie te verkrijgen op de ESXi host. VMware heeft hier een “severity” score van 9.8 aan gegeven, wat betekent dat het een lek is waar zo snel als mogelijk op gereageerd moet worden. De status wordt benoemd als “Critical”. [Update 2 november – nieuwe builds beschikbaar]

Workaround

Er is een workaround beschikbaar om het lek zo snel mogelijk te dichten. Dit betreft het stoppen van de OpenSLP service op de ESXi Hosts. Dit kan gedaan worden via de volgende commando’s:

/etc/init.d/slpd stop

esxcli network firewall ruleset set -r CIMSLP -e 0

chkconfig slpd off

Dit zorgt ervoor dat de service wordt gestopt, dat de firewall regel voor deze service wordt gesloten én dat bij een herstart van de host, de service niet opnieuw wordt opgestart. Zie hiervoor ook: https://kb.vmware.com/s/article/76372 Let op, deze service wordt gebruikt door de CIM Service, welke een rol speelt in het monitoren van de Hardware Health. Het uitzetten van de OpenSLP service kan er dus toe leiden dat (een deel van) deze informatie niet beschikbaar is. Het is dus belangrijk om te zorgen voor controle op de hardware monitoring binnen vCenter of voor hardware monitoring op een andere wijze.

Update

Om het beveiligingslek te dichten, is het nodig om de ESXi host(s) bij te werken naar de laatst beschikbare update:

  • ESXi650-202011001 (build: 17097218)
  • ESXi670-202011001 (build: 17098360)
  • ESXi_7.0.U1a-17119627 (build: 17119627)

Denk er hierbij wel om dat het over het algemeen sterk aan te bevelen is om ook (eerst) de vCenter Server te updaten naar de laatst beschikbare versie, om te voorkomen dat er problemen ontstaan in de communicatie tussen de vCenter server en de ESXi hosts. Mocht de workaround zijn toegepast, dan is het belangrijk dat na de installatie van de update, de workaround wordt terug gedraaid. Dit kan gedaan worden via:

esxcli network firewall ruleset set -r CIMSLP -e 1

chkconfig slpd on

/etc/init.d/slpd start

esxcli system wbem set --enable false

esxcli system wbem set --enable true

Dit draait de eerdere acties terug én voert een herstart uit van de CIM Service om de communicatie met de OpenSLP service te heractiveren.

Addendum

VMware heeft aangegeven dat de eerder (op 20 oktober) uitgebrachte updates nog geen volledige bescherming bieden tegen de kwetsbaarheid. De updates vermeld in bovenstaand overzicht bevatten de nieuwste updates, uitgebracht op 2 november 2020.

Ondersteuning

Mocht u ondersteuning behoeven bij de uitvoer van bovenstaande acties (Workaround of Update), dan helpen we u uiteraard graag. Neem daartoe contact op met uw account-manager of met info@pqr.nl

Geplaatst door
Berry Rijnbeek

Berry Rijnbeek

Lead consultant security competence team, Security Officer