K-iS Security Advisory 2022-008 – Empfehlung zu Schwachstellen in VMware vSphere

Jetzt patchen: VMware hat Fixes für diverse kritische Sicherheitslücken veröffentlicht!

Um welche Schwachstellen handelt es sich?

  • CVE-2021-22040 + CVE-2021-22041 – VMware ESXi Use-after-free vulnerability (CVSSv3 score: 8.4)
    • Angreifern innerhalb einer virtuellen Maschine ist es möglich, Schadcode am VMware ESXi Hypervisor auszuführen. Dazu werden Sicherheitslücken in virtuellen USB-Controllern ausgenutzt.
  • CVE-2021-22045 – VMware ESXi heap-overflow vulnerability (CVSSv3 score: 7.7)
    • Angreifern innerhalb einer virtuellen Maschine ist es möglich, Schadcode am VMware ESXi Hypervisor auszuführen. Dazu wird eine Sicherheitslücke im virtuellen CD-Laufwerk ausgenutzt.
  • CVE-2021-44228 + CVE-2021-45046 – VMware vCenter Apache Log4j vulnerability (CVSSv3 score: 10.0 + 9.0)
    • Nach dem Fix für die VMware vCenter Version 7.0 sind nun auch Patches für die Version 6.5 und 6.7 verfügbar.
  • Weitere Schwachstellen mit geringeren Risiken.

In folgenden Versionen sind alle genannten Sicherheitslücken geschlossen:

VMware vCenter:

  • 0 Update 3c | 27 JAN 2022 | ISO Build 19234570
  • 7 Update 3q | 08 FEB 2022 | ISO Build 19300125
  • 5 Update 3s | 08 FEB 2022 | ISO Build 19261680

VMware ESXi:

  • ESXi 7.0 Update 3c | 27 JAN 2022 | Build 19193900
  • ESXi 7.0 Update 2e | 15 FEB 2022 | Build 19290878
  • ESXi 7.0 Update 1e | 15 FEB 2022 | Build 19324898
  • ESXi 6.7 | 25 JAN 2022 | Build 19195723
  • ESXi 6.5 | 15 FEB 2022 | Build 19092475

Um Ihre Infrastruktur zu schützen, empfehlen wir schnellstmöglich, auf die angegebenen Versionen zu aktualisieren.

Wichtige zusätzliche Information zu vSphere 6.5. und 6.7:

Unabhängig von diesen Sicherheitslücken, möchten wir auf den Zeitpunkt des „End of General Support“ für die Version 6.5 sowie 6.7 aufmerksam machen. Das bedeutet: Ab dem 15. Oktober 2022 wird für diese Versionen Folgendes nicht mehr zur Verfügung gestellt:

  • Unterstützung neuer Hardwaregenerationen
  • Bereitstellung von Updates für Sicherheitslücken
  • Patches für mögliche Bugs

Um auch vor zukünftigen Sicherheitslücken geschützt und auf mögliche neue Hardware vorbereitet zu sein, empfehlen wir dringend eine Analyse, ob ein Upgrade auf die Version 7 möglich ist.

Gerne prüfen wir, ob Ihre vSphere-Installation betroffen ist und unterstützen Sie bei der Absicherung der Systeme. Melden Sie sich dazu bitte bei unserem Support und vereinbaren Sie einen zeitnahen Termin.

Zentraler Support der K-iS Systemhaus Unternehmensgruppe:
support@k-is.com | +49 271 31370-30 (D-Siegen) | +49 6761 9321-55 (D-Simmern) | +41-55-536-1020 (Schweiz)

Support der pointcom GmbH
support@pointcom.de | +49 7681 474098-8

Support der my-Office.ch GmbH
support@my-office.ch | +41 61 303 04-05