22. september varslet NCSC om tilgjengelige oppdateringer til 19 sårbarheter i vCenter Server og Cloud Foundation [1]. Kun én av sårbarhetene var vurdert som kritisk (CVE-2021-22005), da den kunne muliggjøre opplasting av vilkårlige filer på vCenter Server og dermed videre utnyttes til å fjernkjøre vilkårlig kode.

24. september bekreftet VMware at de har mottatt rapporteringer om aktiv utnyttelse av CVE-2021-22005. I tillegg har flere sikkerhetsforskere meldt om massiv skanning etter sårbare vCenter-instanser og åpent tilgjengelig utnyttelseskode (proof-of-concept). På bakgrunn av dette vurderer NCSC det som sannsynlig at norske virksomheter med sårbare instanser av VMware vCenter også vil oppleve økt skanningaktivitet og utnyttelsesforsøk - både av opportunistiske, og avanserte aktører.

NCSC anbefaler på det sterkeste å installere sikkerhetsoppdateringer umiddelbart dersom det ikke allerede er gjort. Mer informasjon om oppdateringen finnes på VMwares nettsider [2]. Hvis en fullstendig sikkerhetsoppdatering ikke er mulig, bør VMwares midlertidige løsning følges [3][4].

[1] Kritisk sårbarhet i VMWare vCenter Server 7.0 [2] https://www.vmware.com/security/advisories/VMSA-2021-0020.html

[3] https://kb.vmware.com/s/article/85717

[4] https://blogs.vmware.com/vsphere/2021/09/vmsa-2021-0020-what-you-need-to-know.html