• 我的位置:
  • 首页
  • -
  • 漏洞预警
  • -
  • 其他
  • -
    • VMware 多个高危漏洞
    • CNNVD编号:未知
    • 危害等级: 高危 
    • CVE编号:未知
    • 漏洞类型: 信息泄露
    • 威胁类型:远程
    • 厂       商:未知
    • 漏洞来源:深信服
    • 发布时间:2021-03-01
    • 更新时间:2021-03-01

    漏洞简介

    1、组件介绍

    VMWare ESXi 是VMWare开放的服务器资源整合平台,可实现用较少的硬件集中管理多台服务器,并提升服务器性能和安全性。


    VMWare vCenterServer 提供了一个可伸缩、可扩展的平台,可集中管理 VMware vSphere 环境,并能实现资源优化分配和插件扩展。


    VMware Cloud Foundation 是VMWare开发的基于HCI架构的混合云平台,可在私有云和公有云之间实现一致、安全的基础架构和运维。

    2、漏洞描述

    2021年2月24日,深信服安全团队监测到一则VMware多个组件存在远程代码执行和信息泄露漏洞的信息,漏洞编号:CVE-2021-21972/CVE-2021-21973/CVE-2021-21974,漏洞危害:高危。攻击者可利用该漏洞在可访问443端口的条件下,在运行受影响版本vCenter Server的底层操作系统上以不受限制的权限执行命令。

    漏洞公示

    暂无

    参考网站

    暂无

    受影响实体

    VMware vCenter等组件用于服务器资源虚拟化,可以支持几乎所有计算机平台,是使用量较大的虚拟化服务器软件之一。可能受漏洞影响的资产广泛分布于世界各地,中国大陆省份中,广东、浙江、北京、山东、江苏等省市接近50%,由于此漏洞严重性高且存在任意代码执行,影响力较大。

    目前受影响的VMware各产品版本:

    VMware ESXi 6.5,6.7,7.0

    VMware vCenter Server 6.5,6.7,7.0

    VMware Cloud Foundation 3.x,4.x


    补丁

    1、官方修复建议

    当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:

    https://www.vmware.com/security/advisories/VMSA-2021-0002.html

    其中各受影响版本升级到对应的修复版本:

    ESXi7.0版本:升级到ESXi70U1c-17325551

    ESXi6.7版本:升级到ESXi670-202102401-SG

    ESXi6.5版本:升级到ESXi650-202102101-SG

    vCenter Server 7.0版本:升级到7.0.U1c

    vCenter Server 6.7版本:升级到6.7.U3l

    vCenter Server 6.5版本:升级到6.5 U3n

    Cloud Foundation 4.x版本:升级到4.2

    Cloud Foundation 3.x版本:升级到3.10.1.2、

    2、临时修复建议

    该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:

    (1)ESXi

    使用以下命令在ESXi主机上停止SLP服务:

    /etc/init.d/slpd stop

    运行以下命令以禁用SLP服务且重启系统仍然生效:

    esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off

    运行此命令检查禁用SLP服务成功:

    chkconfig --list | grep slpd

    若输出slpd off则禁用成功

    (2)vCenter Server

    1.使用SSH连接到vCSA(或远程桌面连接到Windows VC)

    2.备份文件:

    /etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui (Windows VC)

    3.该文件的内容如下所示:


    4.使用文件编辑器将以下内容写入

    <Matrix><pluginsCompatibility>   . . . .    . . . . <PluginPackage id="com.vmware.vrops.install"     status="incompatible"/>
      </pluginsCompatibility></Matrix>

    5.如图



    6.重启vsphere-ui服务,命令为:

    vmon-cli -r vsphere-ui

    7.访问

    https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister

    该页面显示404。

    8.在管理解决方案客户端插件下看到VMWare vROPS Client plugin的值为“incompatible”。说明目标路径被禁用。

    3、深信服解决方案

    深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

    深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

    深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

    深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。

    深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。

    注册地址:http://saas.sangfor.com.cn

    深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署云端版云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力。

    返回漏洞列表