NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.02 #############################

Titel           : Kwetsbaarheden verholpen in VMware vCenter Server
Advisory ID     : NCSC-2021-0831
Versie          : 1.02
Kans            : high
CVE ID          : CVE-2021-21991, CVE-2021-21992, CVE-2021-21993,
                  CVE-2021-22005, CVE-2021-22006, CVE-2021-22007,
                  CVE-2021-22008, CVE-2021-22009, CVE-2021-22010,
                  CVE-2021-22011, CVE-2021-22012, CVE-2021-22013,
                  CVE-2021-22014, CVE-2021-22015, CVE-2021-22016,
                  CVE-2021-22017, CVE-2021-22018, CVE-2021-22019,
                  CVE-2021-22020
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Request Forgery (XSRF)
                  Cross-Site Scripting (XSS)
                  Denial-of-Service (DoS)
                  Manipulatie van gegevens
                  Omzeilen van authenticatie
                  Omzeilen van beveiligingsmaatregel
                  (Remote) code execution (Administrator/Root rechten)
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot systeemgegevens
                  Verhoogde gebruikersrechten
Uitgiftedatum   : 20210927
Toepassing      : VMware vCenter Server
Versie(s)       :
Platform(s)     :

Update
   VMware meldt dat de kwetsbaarheid met kenmerk CVE-2021-22005 actief
   wordt misbruikt. Het NCSC roept nogmaals op om de door VMware
   beschikbaar gestelde beveiligingsupdates te installeren of de
   tijdelijke work-around toe te passen. De inschaling van dit
   beveiligingsadvies blijft onverminderd HIGH/HIGH.

Beschrijving
   Er zijn kwetsbaarheden verholpen in VMware vCenter Server. De
   kwetsbaarheden stellen een kwaadwillende in staat aanvallen uit te
   voeren die leiden tot de volgende categorieën schade:

   * Cross-Site Request Forgery (XSRF)
   * Cross-Site Scripting (XSS)
   * Denial-of-Service (DoS)
   * Manipulatie van gegevens
   * Omzeilen van authenticatie
   * Omzeilen van beveiligingsmaatregel
   * (Remote) code execution (Administrator/Root rechten)
   * (Remote) code execution (Gebruikersrechten)
   * Toegang tot systeemgegevens
   * Verhoogde gebruikersrechten

   VMware categoriseert de kwetsbaarheid met kenmerk CVE-2021-22005
   volgens de CVSSv3 methode met een score van 9.8, en duidt deze aan
   als 'critical'. De kwetsbaarheid wordt actief misbruikt.

   Het is goed gebruik vCenter te plaatsen in een netwerk waar alleen
   beheerders toegang toe hebben. Hierdoor wordt het misbruiken van de
   kwetsbaarheid met kenmerk CVE-2021-22005 niet zonder meer mogelijk.

Mogelijke oplossingen
   VMware heeft updates uitgebracht om de kwetsbaarheden te verhelpen.
   Meer informatie kunt u vinden op onderstaande pagina:

   https://www.vmware.com/security/advisories/VMSA-2021-0020.html

   Een blogpost van VMware met meer informatie over de kwetsbaarheid
   met kenmerk CVE-2021-22005 kunt u vinden op:

   https://core.vmware.com
      /vmsa-2021-0020-questions-answers-faq#section1

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=lDQS
-----END PGP SIGNATURE-----