VMware vCenter Server 遠(yuǎn)程代碼執(zhí)行漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):CVE-2021-21985
  • 漏洞類(lèi)型: 遠(yuǎn)程代碼執(zhí)行
  • 威脅類(lèi)型:遠(yuǎn)程
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2021-06-08
  • 更新時(shí)間:2021-06-08

漏洞簡(jiǎn)介

1、組件介紹

VMware vCenter Server是美國(guó)威睿(VMware)公司的一套服務(wù)器和虛擬化管理軟件。該軟件提供了一個(gè)用于管理VMware vSphere環(huán)境的集中式平臺(tái),可自動(dòng)實(shí)施和交付虛擬基礎(chǔ)架構(gòu)。

2、漏洞描述
該漏洞是由于Virtual SAN缺少輸入驗(yàn)證,vSphere Client(HTML5)包含一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼執(zhí)行,最終可獲取服務(wù)器最高權(quán)限。

3、漏洞復(fù)現(xiàn)

參考iswin與Ricter Z的文章,搭建VMware vCenter Server 6.7版本環(huán)境,復(fù)現(xiàn)該漏洞,效果如下:

漏洞公示

暫無(wú)

參考網(wǎng)站

暫無(wú)

受影響實(shí)體

VMware vCenter等組件用于服務(wù)器資源虛擬化,可以支持幾乎所有計(jì)算機(jī)平臺(tái),是使用量較大的虛擬化服務(wù)器軟件之一??赡苁苈┒从绊懙馁Y產(chǎn)廣泛分布于世界各地,國(guó)內(nèi)省份中受影響資產(chǎn)分布于廣東、江蘇、浙江等省市。


目前受影響的VMware各產(chǎn)品版本:

VMware vCenter Server 7.0

VMware vCenter Server 6.7

VMware vCenter Server 6.5

補(bǔ)丁

1、官方修復(fù)建議

當(dāng)前官方已發(fā)布受影響版本的對(duì)應(yīng)補(bǔ)丁,建議受影響的用戶及時(shí)更新官方的安全補(bǔ)丁。鏈接如下:

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

2、臨時(shí)修復(fù)建議

重要提示:插件必須設(shè)置為“不兼容”。從UI內(nèi)禁用插件不會(huì)阻止利用。

在運(yùn)行vCenter High Availability(VCHA)的環(huán)境中,必須在主動(dòng)節(jié)點(diǎn)和被動(dòng)節(jié)點(diǎn)上都執(zhí)行以下操作。

將以下各行添加到compatible-matrix.xml文件中,以禁用每個(gè)單獨(dú)的插件。

默認(rèn)情況下會(huì)啟用某些插件,并且這些默認(rèn)插件因系統(tǒng)版本而異。請(qǐng)參考下表以確定默認(rèn)情況下啟用了哪個(gè)插件,以及哪個(gè)插件需要安裝和配置。

Default = 默認(rèn)情況下,所有vCenter上均啟用插件。

Product = 僅在安裝和配置了關(guān)聯(lián)產(chǎn)品后才啟用插件。


- 在基于Linux的虛擬設(shè)備(vCSA)上禁用vCenter Server插件:

1.使用SSH會(huì)話和root憑據(jù)連接到vCSA。

2.備份/etc/vmware/vsphere-ui/compatibility-matrix.xml文件:

cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xmletc/vmware/vsphere-ui/compatibility-matrix.xml.backup

3.在文本編輯器中打開(kāi)compatibility-matrix.xml文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

注意,未編輯文件的內(nèi)容應(yīng)類(lèi)似于:

4.要禁用所有具有已知漏洞的插件,請(qǐng)?zhí)砑右韵滦?,如下所示?/p>

注意:這些條目應(yīng)添加在上面突出顯示的->和<!-條目之間。

具體應(yīng)如下所示:

<PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>


5.使用wq!命令保存并關(guān)閉compatible-matrix.xml文件

6.使用以下命令停止并重新啟動(dòng)vsphere-ui服務(wù):

service-control --stop vsphere-uiservice-control --start vsphere-ui

在vSphere Client(HTML5)中,可以在管理>解決方案>客戶端插件下將VMware Virtual SAN運(yùn)行狀況檢查插件視為不兼容,如下所示的各版本視圖:

7.0視圖


6.7視圖


- 在基于Windows的vCenter Server部署中禁用vCenter Server插件:

1.RDP到基于Windows的vCenter Server。

2.備份以下文件:

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

3.在文本編輯器中打開(kāi)compatibility-matrix.xml文件

注意,未編輯文件的內(nèi)容應(yīng)類(lèi)似于以下內(nèi)容:


4.要禁用所有具有已知漏洞的插件,請(qǐng)?zhí)砑右韵滦校缦滤荆?/p>

<PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>
注意:這些條目應(yīng)添加在->和<!-條目上方上方突出顯示的。

具體應(yīng)如下所示:


5.保存并關(guān)閉文件。

6.在Windows命令提示符下,使用以下命令停止并重新啟動(dòng)vsphere-ui服務(wù):

C:\Program Files\VMware\vCenter Server\bin> service-control --stop vsphere-uiC:\Program Files\VMware\vCenter Server\bin> service-control --start vsphere-ui

7.在vSphere Client(HTML 5)中,可以在“管理”>“解決方案”>“客戶端插件”下將禁用的插件視為不兼容,如下所示:

更多臨時(shí)修復(fù)建議參考鏈接:https://kb.vmware.com/s/article/83829

3、深信服解決方案

深信服下一代防火墻】可防御此漏洞, 建議用戶將深信服下一代防火墻開(kāi)啟IPS防護(hù)策略,并更新最新安全防護(hù)規(guī)則,即可輕松抵御此高危風(fēng)險(xiǎn)。

深信服安全感知平臺(tái)】結(jié)合云端實(shí)時(shí)熱點(diǎn)高危/緊急漏洞信息,可快速檢出業(yè)務(wù)場(chǎng)景下的該漏洞,并可聯(lián)動(dòng)【深信服下一代防火墻等產(chǎn)品】實(shí)現(xiàn)對(duì)攻擊者IP的封堵。

深信服安全云眼】預(yù)計(jì)在2021年6月9日,可完成檢測(cè)更新,對(duì)所有用戶網(wǎng)站探測(cè),保障用戶安全。不清楚自身業(yè)務(wù)是否存在漏洞的用戶,可注冊(cè)信服云眼賬號(hào),獲取30天免費(fèi)安全體驗(yàn)。注冊(cè)地址:http://saas.sangfor.com.cn

深信服云鏡】預(yù)計(jì)在2021年6月9日,可完成檢測(cè)能力的發(fā)布,部署了云鏡的用戶可以通過(guò)升級(jí)來(lái)快速檢測(cè)網(wǎng)絡(luò)中是否受該高危風(fēng)險(xiǎn)影響,避免被攻擊者利用。離線使用云鏡的用戶需要下載離線更新包來(lái)獲得漏洞檢測(cè)能力,可以連接云端升級(jí)的用戶可自動(dòng)獲得漏洞檢測(cè)能力。