高危紧急!!!vMware漏洞风险,速处置!

一、漏洞公告

2021 年 2 月 23 日,VMware 官方更新发布了 VMware vCenter Server、VMware vCloud Foundation、VMware ESXi 等产品存在安全漏洞的公告,其中包含有远程代码执行漏洞和缓冲区溢出漏洞,风险较高,对应 CVE 编号:CVE-2021-21972、CVE-2021-21974。

根据公告,漏洞存在于 vSphere Client(HTML5)包含的 vCenter Server 插件中,恶意攻击者成功利用该漏洞能对部署在vCenter Server 上的系统执行特权命令,从而实现代码执行效果。另外,ESXi 中使用的 OpenSLP 服务存在缓冲区溢出漏洞,恶意攻击者可以通过 OpenSLP 服务端口427实施攻击,成功利用漏洞能实现远程代码执行效果,从而获得目标系统管理权限,建议尽快测试漏洞修复的版本并及时升级

二、影响范围

影响范围CVE-2021-21972 远程代码执行漏洞主要影响以下VMware vCenter Server 版本:VMware vCenter Server 7.0 版本,建议更新到 7.0 U1c 以上版本;VMware vCenter Server 6.7 版本,建议更新到 6.7 U3l 以上版本;VMware vCenter Server 5.5 版本,建议更新到 6.5 U3n 以上版本;Cloud Foundation (vCenter Server)4.x 版本,建议更新到 4.2 以上版本;Cloud Foundation (vCenter Server)4.x 版本,建议更新到 3.10.1.2 以上版本。

三、缓解措施

目前漏洞细节和利用代码已经部分公开,建议尽快测试漏修复的版本并及时升级。由于在 vROps(vRealizeOperations)中,vCenter Server 为默认安装,建议参考官方加固指南对其禁用,修改配置文件(注意备份):

Linux系统文件路径:/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)

Windows系统文件路径:C:ProgramDataVMwarevCenterServercfgvsphere-ui (Windows VC)

使用文本编辑器插入

<Matrix>
<pluginsCompatibility>
 . . . . 
 . . . . 
<PluginPackageid="com.vmware.vrops.install"status="incompatible"/>
</pluginsCompatibility>
</Matrix>

需要重启 vsphere-ui 服务生效,更多操作参考KB:
VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)

同时,针对 OpenSLP 的临时禁用和启用操作参考:
/etc/init.d/slpd stop(停止)
/etc/init.d/slpd start(启动)
禁用和启用等更多操作参考KB:
How to Disable/Enable CIM Server on VMware ESXi (76372)

文章最后更新于 2021-02-27
版权声明:刘丰源 发表于 2021-02-25 13:10:00。
转载请注明:高危紧急!!!vMware漏洞风险,速处置! | 虚拟机

暂无评论

暂无评论...