• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
    • VMware vCenter Server 遠(yuǎn)程代碼執(zhí)行漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2021-21985
    • 漏洞類型: 遠(yuǎn)程代碼執(zhí)行
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-06-08
    • 更新時間:2021-06-08

    漏洞簡介

    1、組件介紹

    VMware vCenter Server是美國威睿(VMware)公司的一套服務(wù)器和虛擬化管理軟件。該軟件提供了一個用于管理VMware vSphere環(huán)境的集中式平臺,可自動實(shí)施和交付虛擬基礎(chǔ)架構(gòu)。

    2、漏洞描述
    該漏洞是由于Virtual SAN缺少輸入驗(yàn)證,vSphere Client(HTML5)包含一個遠(yuǎn)程執(zhí)行代碼漏洞,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼執(zhí)行,最終可獲取服務(wù)器最高權(quán)限。

    3、漏洞復(fù)現(xiàn)

    參考iswin與Ricter Z的文章,搭建VMware vCenter Server 6.7版本環(huán)境,復(fù)現(xiàn)該漏洞,效果如下:

    漏洞公示

    暫無

    參考網(wǎng)站

    暫無

    受影響實(shí)體

    VMware vCenter等組件用于服務(wù)器資源虛擬化,可以支持幾乎所有計算機(jī)平臺,是使用量較大的虛擬化服務(wù)器軟件之一??赡苁苈┒从绊懙馁Y產(chǎn)廣泛分布于世界各地,國內(nèi)省份中受影響資產(chǎn)分布于廣東、江蘇、浙江等省市。


    目前受影響的VMware各產(chǎn)品版本:

    VMware vCenter Server 7.0

    VMware vCenter Server 6.7

    VMware vCenter Server 6.5

    補(bǔ)丁

    1、官方修復(fù)建議

    當(dāng)前官方已發(fā)布受影響版本的對應(yīng)補(bǔ)丁,建議受影響的用戶及時更新官方的安全補(bǔ)丁。鏈接如下:

    https://www.vmware.com/security/advisories/VMSA-2021-0010.html

    2、臨時修復(fù)建議

    重要提示:插件必須設(shè)置為“不兼容”。從UI內(nèi)禁用插件不會阻止利用。

    在運(yùn)行vCenter High Availability(VCHA)的環(huán)境中,必須在主動節(jié)點(diǎn)和被動節(jié)點(diǎn)上都執(zhí)行以下操作。

    將以下各行添加到compatible-matrix.xml文件中,以禁用每個單獨(dú)的插件。

    默認(rèn)情況下會啟用某些插件,并且這些默認(rèn)插件因系統(tǒng)版本而異。請參考下表以確定默認(rèn)情況下啟用了哪個插件,以及哪個插件需要安裝和配置。

    Default = 默認(rèn)情況下,所有vCenter上均啟用插件。

    Product = 僅在安裝和配置了關(guān)聯(lián)產(chǎn)品后才啟用插件。


    - 在基于Linux的虛擬設(shè)備(vCSA)上禁用vCenter Server插件:

    1.使用SSH會話和root憑據(jù)連接到vCSA。

    2.備份/etc/vmware/vsphere-ui/compatibility-matrix.xml文件:

    cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xmletc/vmware/vsphere-ui/compatibility-matrix.xml.backup

    3.在文本編輯器中打開compatibility-matrix.xml文件:

    vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

    注意,未編輯文件的內(nèi)容應(yīng)類似于:

    4.要禁用所有具有已知漏洞的插件,請?zhí)砑右韵滦?,如下所示?/p>

    注意:這些條目應(yīng)添加在上面突出顯示的->和<!-條目之間。

    具體應(yīng)如下所示:

    <PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>


    5.使用wq!命令保存并關(guān)閉compatible-matrix.xml文件

    6.使用以下命令停止并重新啟動vsphere-ui服務(wù):

    service-control --stop vsphere-uiservice-control --start vsphere-ui

    在vSphere Client(HTML5)中,可以在管理>解決方案>客戶端插件下將VMware Virtual SAN運(yùn)行狀況檢查插件視為不兼容,如下所示的各版本視圖:

    7.0視圖


    6.7視圖


    - 在基于Windows的vCenter Server部署中禁用vCenter Server插件:

    1.RDP到基于Windows的vCenter Server。

    2.備份以下文件:

    C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

    3.在文本編輯器中打開compatibility-matrix.xml文件

    注意,未編輯文件的內(nèi)容應(yīng)類似于以下內(nèi)容:


    4.要禁用所有具有已知漏洞的插件,請?zhí)砑右韵滦校缦滤荆?/p>

    <PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>
    注意:這些條目應(yīng)添加在->和<!-條目上方上方突出顯示的。

    具體應(yīng)如下所示:


    5.保存并關(guān)閉文件。

    6.在Windows命令提示符下,使用以下命令停止并重新啟動vsphere-ui服務(wù):

    C:\Program Files\VMware\vCenter Server\bin> service-control --stop vsphere-uiC:\Program Files\VMware\vCenter Server\bin> service-control --start vsphere-ui

    7.在vSphere Client(HTML 5)中,可以在“管理”>“解決方案”>“客戶端插件”下將禁用的插件視為不兼容,如下所示:

    更多臨時修復(fù)建議參考鏈接:https://kb.vmware.com/s/article/83829

    3、深信服解決方案

    深信服下一代防火墻】可防御此漏洞, 建議用戶將深信服下一代防火墻開啟IPS防護(hù)策略,并更新最新安全防護(hù)規(guī)則,即可輕松抵御此高危風(fēng)險。

    深信服安全感知平臺】結(jié)合云端實(shí)時熱點(diǎn)高危/緊急漏洞信息,可快速檢出業(yè)務(wù)場景下的該漏洞,并可聯(lián)動【深信服下一代防火墻等產(chǎn)品】實(shí)現(xiàn)對攻擊者IP的封堵。

    深信服安全云眼】預(yù)計在2021年6月9日,可完成檢測更新,對所有用戶網(wǎng)站探測,保障用戶安全。不清楚自身業(yè)務(wù)是否存在漏洞的用戶,可注冊信服云眼賬號,獲取30天免費(fèi)安全體驗(yàn)。注冊地址:http://saas.sangfor.com.cn

    深信服云鏡】預(yù)計在2021年6月9日,可完成檢測能力的發(fā)布,部署了云鏡的用戶可以通過升級來快速檢測網(wǎng)絡(luò)中是否受該高危風(fēng)險影響,避免被攻擊者利用。離線使用云鏡的用戶需要下載離線更新包來獲得漏洞檢測能力,可以連接云端升級的用戶可自動獲得漏洞檢測能力。