2021 年 2 月 23 日,VMware 官方更新发布了 VMware vCenter Server、VMware vCloudFoundation、VMware ESXi 等产品存在安全漏洞的公告,其中包含有远程代码执行漏洞和缓冲区溢出漏洞,风险较高,对应 CVE 编号:CVE-2021-21972、CVE-2021-21974, 相关链接参考:https://www.vmware.com/security/advisories/VMSA-2021-0002.html
根据公告,漏洞存在于 vSphere Client(HTML5)包含的 vCenter Server 插件中,恶意攻击者成功利用该漏洞能对部署在 vCenter Server 上的系统执行特权命令,从而实现代码执行效果,另外,ESXi 中使用的 OpenSLP 服务存在缓冲区溢出漏洞,恶意攻击者可以通过 OpenSLP 服务端口 427 实施攻击,成功利用漏洞能实现远程代码执行效果,从而获得目标系统管理权限,建议尽快测试漏洞修复的版本并及时升级。
VMware 历史安全漏洞公告参考:https://www.vmware.com/security/advisories.html
影响范围
CVE-2021-21972 远程代码执行漏洞主要影响以下 VMware vCenter Server 版本:
VMware vCenter Server 7.0 版本,建议更新到 7.0 U1c 以上版本;
VMware vCenter Server 6.7 版本,建议更新到 6.7 U3l 以上版本;
VMware vCenter Server 5.5 版本,建议更新到 6.5 U3n 以上版本;
Cloud Foundation (vCenter Server) 4.x 版本,建议更新到 4.2 以上版本;
Cloud Foundation (vCenter Server) 4.x 版本,建议更新到 3.10.1.2 以上版本。
通过安恒 SUMAP 平台对全球部署的 VMware vCenter Server 进行统计,最新查询分布情况如下:
3. 漏洞 描述
CVE-2021-21972 漏洞,根据分析,在 vSphere Client(HTML5)包含的 vCenter Server插件存在漏洞,恶意攻击者成功利用该漏洞能对部署在 vCenter Server 上的系统执行特权命令,从而实现代码执行效果。CVE-2021-21974 漏洞,根据分析,在 ESXi 中使用的 OpenSLP 服务存在缓冲区溢出漏洞,恶意攻击者可以通过 OpenSLP 服务端口 427 实施攻击,成功利用漏洞能实现远程
代码执行效果,从而获得目标系统管理权限,建议尽快测试漏洞修复的版本并及时升级。
4. 缓解措施和解决方法:
⾼危:⽬前漏洞细节和利⽤代码已经部分公开,建议尽快测试漏洞修复的版本并及时升级。
由于在 vROps(vRealize Operations)中,vCenter Server 为默认安装,建议参考
官方加固指南对其禁用,修改配置文件(注意备份):
/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)
C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui (Windows VC)
定义以下行:"incompatible"
<Matrix>
<pluginsCompatibility>
. . . .
<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>
</pluginsCompatibility>
</Matrix>
需要重启 vsphere-ui 服务生效,更多操作参考:
https://kb.vmware.com/s/article/82374
同时,针对 OpenSLP 的临时禁用和启用操作参考:
/etc/init.d/slpd stop(停止)
/etc/init.d/slpd start(启动)
禁用和启用等更多操作参考:
https://kb.vmware.com/s/article/76372
文章评论