• 我的位置:
  • 首页
  • -
  • 漏洞预警
  • -
  • 应用
  • -
    • VMware vCenter Server 远程代码执行漏洞
    • CNNVD编号:未知
    • 危害等级: 高危 
    • CVE编号:CVE-2021-21985
    • 漏洞类型: 远程代码执行
    • 威胁类型:远程
    • 厂       商:未知
    • 漏洞来源:深信服
    • 发布时间:2021-06-08
    • 更新时间:2021-06-08

    漏洞简介

    1、组件介绍

    VMware vCenter Server是美国威睿(VMware)公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台,可自动实施和交付虚拟基础架构。

    2、漏洞描述
    该漏洞是由于Virtual SAN缺少输入验证,vSphere Client(HTML5)包含一个远程执行代码漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码执行,最终可获取服务器最高权限。

    3、漏洞复现

    参考iswin与Ricter Z的文章,搭建VMware vCenter Server 6.7版本环境,复现该漏洞,效果如下:

    漏洞公示

    暂无

    参考网站

    暂无

    受影响实体

    VMware vCenter等组件用于服务器资源虚拟化,可以支持几乎所有计算机平台,是使用量较大的虚拟化服务器软件之一。可能受漏洞影响的资产广泛分布于世界各地,国内省份中受影响资产分布于广东、江苏、浙江等省市。


    目前受影响的VMware各产品版本:

    VMware vCenter Server 7.0

    VMware vCenter Server 6.7

    VMware vCenter Server 6.5

    补丁

    1、官方修复建议

    当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:

    https://www.vmware.com/security/advisories/VMSA-2021-0010.html

    2、临时修复建议

    重要提示:插件必须设置为“不兼容”。从UI内禁用插件不会阻止利用。

    在运行vCenter High Availability(VCHA)的环境中,必须在主动节点和被动节点上都执行以下操作。

    将以下各行添加到compatible-matrix.xml文件中,以禁用每个单独的插件。

    默认情况下会启用某些插件,并且这些默认插件因系统版本而异。请参考下表以确定默认情况下启用了哪个插件,以及哪个插件需要安装和配置。

    Default = 默认情况下,所有vCenter上均启用插件。

    Product = 仅在安装和配置了关联产品后才启用插件。


    - 在基于Linux的虚拟设备(vCSA)上禁用vCenter Server插件:

    1.使用SSH会话和root凭据连接到vCSA。

    2.备份/etc/vmware/vsphere-ui/compatibility-matrix.xml文件:

    cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xmletc/vmware/vsphere-ui/compatibility-matrix.xml.backup

    3.在文本编辑器中打开compatibility-matrix.xml文件:

    vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

    注意,未编辑文件的内容应类似于:

    4.要禁用所有具有已知漏洞的插件,请添加以下行,如下所示:

    注意:这些条目应添加在上面突出显示的->和<!-条目之间。

    具体应如下所示:

    <PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>


    5.使用wq!命令保存并关闭compatible-matrix.xml文件

    6.使用以下命令停止并重新启动vsphere-ui服务:

    service-control --stop vsphere-uiservice-control --start vsphere-ui

    在vSphere Client(HTML5)中,可以在管理>解决方案>客户端插件下将VMware Virtual SAN运行状况检查插件视为不兼容,如下所示的各版本视图:

    7.0视图


    6.7视图


    - 在基于Windows的vCenter Server部署中禁用vCenter Server插件:

    1.RDP到基于Windows的vCenter Server。

    2.备份以下文件:

    C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

    3.在文本编辑器中打开compatibility-matrix.xml文件

    注意,未编辑文件的内容应类似于以下内容:


    4.要禁用所有具有已知漏洞的插件,请添加以下行,如下所示:

    <PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>
    注意:这些条目应添加在->和<!-条目上方上方突出显示的。

    具体应如下所示:


    5.保存并关闭文件。

    6.在Windows命令提示符下,使用以下命令停止并重新启动vsphere-ui服务:

    C:\Program Files\VMware\vCenter Server\bin> service-control --stop vsphere-uiC:\Program Files\VMware\vCenter Server\bin> service-control --start vsphere-ui

    7.在vSphere Client(HTML 5)中,可以在“管理”>“解决方案”>“客户端插件”下将禁用的插件视为不兼容,如下所示:

    更多临时修复建议参考链接:https://kb.vmware.com/s/article/83829

    3、深信服解决方案

    深信服下一代防火墙】可防御此漏洞, 建议用户将深信服下一代防火墙开启IPS防护策略,并更新最新安全防护规则,即可轻松抵御此高危风险。

    深信服安全感知平台】结合云端实时热点高危/紧急漏洞信息,可快速检出业务场景下的该漏洞,并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。

    深信服安全云眼】预计在2021年6月9日,可完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。注册地址:http://saas.sangfor.com.cn

    深信服云镜】预计在2021年6月9日,可完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。

    返回漏洞列表