VMware 官方发布公告,修复了ESXi和vSphere Client(HTML5)中的多个高危漏洞,攻击者利用漏洞可能导致远程代码执行或信息泄露。
漏洞简介:
VMware ESXi和vSphere Client(HTML5)中的多个漏洞已秘密报告给VMware,有可用的更新程序来修复受影响的VMware产品中的这些漏洞。
受影响的产品:
VMware ESXi
VMware vCenter Server(vCenter Server)
VMware Cloud Foundation(Cloud Foundation)
漏洞详情:
1.vSphere Client中的远程执行代码漏洞(CVE-2021-21972)
vSphere Client(HTML5)在vCenter Server插件中包含一个远程执行代码漏洞。VMware已评估此漏洞等级为高风险,CVSS 得分为9.8。
恶意攻击者可能会利用此问题在托管vCenter Server的操作系统上以不受限制的特权执行任意命令。
受影响的版本:
VMware vCenter Server 7.0,6.7,6.5
VMware Cloud Foundation(Cloud Foundation)4.X,3.X
2.ESXi OpenSLP堆溢出漏洞(CVE-2021-21974)
ESXi中使用的OpenSLP存在堆溢出漏洞,VMware已评估此问题的严重性为“重要”级别,CVSS得分为8.8。
与ESXi处于同一网段中且可以访问端口427的攻击者可能会触发OpenSLP服务中的堆溢出问题,从而导致远程执行代码。
受影响的版本:
VMware ESXi 7.0,6.7,6.5
VMware Cloud Foundation(ESXi)4.X,3.X
3.vSphere Client中的SSRF漏洞(CVE-2021-21973)
由于vCenter Server插件中URL的验证不正确,vSphere Client(HTML5)包含SSRF(服务器端请求伪造)漏洞。漏洞等级:中等,CVSS得分为5.3。
攻击者可以通过端口443访问网络向vCenter Server插件发送POST请求来导致信息泄露。
受影响的版本:
VMware vCenter Server 7.0,6.7,6.5
VMware Cloud Foundation(vCenter Server)4.X,3.X
修复建议:
CVE-2021-21972:
– vCenter Server7.0版本升级到7.0.U1c
– vCenter Server6.7版本升级到6.7.U3l
– vCenter Server6.5版本升级到6.5 U3n
CVE-2021-21974:
– ESXi7.0版本升级到ESXi70U1c-17325551
– ESXi6.7版本升级到ESXi670-202102401-SG
– ESXi6.5版本升级到ESXi650-202102101-SG
临时修补建议:
CVE-2021-21972
1. SSH远连到vCSA(或远程桌面连接到Windows VC)
2. 备份以下文件:
– Linux系文件路径为:/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)
– Windows文件路径为:C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui (Windows VC)
3. 使用文本编辑器将文件内容修改为:
4. 使用vmon-cli -r vsphere-ui命令重启vsphere-ui服务
5. 访问https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister,显示404错误
6. 在vSphere Client的Solutions->Client Plugins中VMWare vROPS插件显示为incompatible
CVE-2021-21974
1. 使用/etc/init.d/slpd stop命令在ESXI主机上停止SLP服务(仅当不使用SLP服务时,才可以停止该服务。可以使用esxcli system slp stats get命令查看服务守护程序运行状态)
2. 使用esxcli network firewall ruleset set -r CIMSLP -e 0命令禁用SLP服务
3. 使用chkconfig slpd off命令保证此更改在重启后持续存在
4. 利用chkconfig --list | grep slpd命令检查是否在重启后更改成功,若回显为slpd off则证明成功
