VMware vCenter Server 和iESXi高危漏洞风险提示

2021 年 2 月 23 日，VMware 官方更新发布了 VMware vCenter Server、VMware vCloudFoundation、VMware ESXi 等产品存在安全漏洞的公告，其中包含有远程代码执行漏洞和缓冲区溢出漏洞，风险较高，对应 CVE 编号：CVE-2021-21972、CVE-2021-21974, 相关链接参考：https://www.vmware.com/security/advisories/VMSA-2021-0002.html

根据公告，漏洞存在于 vSphere Client(HTML5)包含的 vCenter Server 插件中，恶意攻击者成功利用该漏洞能对部署在 vCenter Server 上的系统执行特权命令，从而实现代码执行效果，另外，ESXi 中使用的 OpenSLP 服务存在缓冲区溢出漏洞，恶意攻击者可以通过 OpenSLP 服务端口 427 实施攻击，成功利用漏洞能实现远程代码执行效果，从而获得目标系统管理权限，建议尽快测试漏洞修复的版本并及时升级。

VMware 历史安全漏洞公告参考：https://www.vmware.com/security/advisories.html

影响范围
CVE-2021-21972 远程代码执行漏洞主要影响以下 VMware vCenter Server 版本：
VMware vCenter Server 7.0 版本，建议更新到 7.0 U1c 以上版本；
VMware vCenter Server 6.7 版本，建议更新到 6.7 U3l 以上版本；
VMware vCenter Server 5.5 版本，建议更新到 6.5 U3n 以上版本；
Cloud Foundation (vCenter Server) 4.x 版本，建议更新到 4.2 以上版本；
Cloud Foundation (vCenter Server) 4.x 版本，建议更新到 3.10.1.2 以上版本。
通过安恒 SUMAP 平台对全球部署的 VMware vCenter Server 进行统计，最新查询分布情况如下：

3. 漏洞 描述
CVE-2021-21972 漏洞，根据分析，在 vSphere Client(HTML5)包含的 vCenter Server插件存在漏洞，恶意攻击者成功利用该漏洞能对部署在 vCenter Server 上的系统执行特权命令，从而实现代码执行效果。CVE-2021-21974 漏洞，根据分析，在 ESXi 中使用的 OpenSLP 服务存在缓冲区溢出漏洞，恶意攻击者可以通过 OpenSLP 服务端口 427 实施攻击，成功利用漏洞能实现远程
代码执行效果，从而获得目标系统管理权限，建议尽快测试漏洞修复的版本并及时升级。

4. 缓解措施和解决方法：

⾼危：⽬前漏洞细节和利⽤代码已经部分公开，建议尽快测试漏洞修复的版本并及时升级。
由于在 vROps（vRealize Operations）中，vCenter Server 为默认安装，建议参考
官方加固指南对其禁用，修改配置文件（注意备份）：
/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)
C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui (Windows VC)
定义以下行："incompatible"
<Matrix>
<pluginsCompatibility>
. . . .
<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>
</pluginsCompatibility>
</Matrix>
需要重启 vsphere-ui 服务生效，更多操作参考：
https://kb.vmware.com/s/article/82374
同时，针对 OpenSLP 的临时禁用和启用操作参考：
/etc/init.d/slpd stop（停止）
/etc/init.d/slpd start（启动）
禁用和启用等更多操作参考：
https://kb.vmware.com/s/article/76372