【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新

  • A+
所属分类:安全漏洞
【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到VMware官方发布多个关于vCenter Server的风险通告,其中包括VMware vCenter Server远程代码执行漏洞(CVE-2021-21985)、VMware vCenter Server错误的身份验证漏洞(CVE-2021-21986)两个高危漏洞,目前官方已有可更新版本。鉴于漏洞危害较大,建议用户及时安装更新补丁。

此次更新新增内容:
CVE-2021-21985漏洞状态已更新;

奇安信CERT已成功复现CVE-2021-21985 VMware vCenter Server远程代码执行漏洞,详情请查看漏洞描述章节;

奇安信产品线已支持防护CVE-2021-21985漏洞,详情请查看产品解决方案章节;




当前漏洞状态



CVE编号

细节是否公开

PoC状态

EXP状态

在野利用

CVE-2021-21985

已公开

未知

未知

CVE-2021-21986 未知
未知 未知




漏洞描述

VMware vCenter Server远程代码执行漏洞(CVE-2021-21985):vSphere Client(HTML5)在vCenter Server插件中存在一个远程执行代码漏洞,未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,成功利用该漏洞可以使攻击者在vCenter主机上执行任意命令。


VMware vCenter Server错误的身份验证漏洞(CVE-2021-21986):多个vCenter Server插件中的身份验证机制问题,可通过访问服务器开放的 443 端口,使得攻击者无须身份验证即可执行插件功能。


奇安信CERT成功复现CVE-2021-21985 VMware vCenter Server远程代码执行漏洞,复现截图如下:

【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



影响范围

VMware: vCenter Server 6.5

VMware: vCenter Server 6.7

VMware: vCenter Server 7.0

Cloud Foundation(vCenter Server)3.x

Cloud Foundation(vCenter Server)4.x



处置建议

  • 升级到安全版本:

vCenter Server 7.0 版本升级到 7.0.U2b

vCenter Server 6.7 版本升级到 6.7.U3n

vCenter Server 6.5 版本升级到 6.5 U3p


  • 缓解措施:

重要提示:插件必须设置为“不兼容”。从UI内禁用插件不会阻止利用。

在运行vCenter High Availability(VCHA)的环境中,必须在主动节点和被动节点上都执行以下操作。

将以下各行添加到compatible-matrix.xml文件中,以禁用每个单独的插件
Plugin Name
Configuration Line
VMware vRealize Operations Client Plugin
<PluginPackage id="com.vmware.vrops.install"   status="incompatible"/>
VMware vSAN H5 Client Plugin
<PluginPackage id="com.vmware.vsphere.client.h5vsan"   status="incompatible"/>
Site Recovery
<PluginPackage id="com.vmware.vrUi"   status="incompatible"/>
vCenter Server Life-cycle Manager
<PluginPackage id="com.vmware.vum.client"   status="incompatible"/>
VMware Cloud Director Availability
<PluginPackage id="com.vmware.h4.vsphere.client"   status="incompatible"/>

默认情况下会启用某些插件,并且这些默认插件因系统版本而异。请参考下表以确定默认情况下启用了哪个插件,以及哪个插件需要安装和配置。
Default = 默认情况下,所有vCenter上均启用插件 
Product = 仅在安装和配置了关联产品后才启用插件
 
vCente Version
vRealize Operations
vSAN
vCenter Server Life-cycle Manager
Site Recovery
VMware Cloud Director Availability
6.5
Default
Default
N/A
Product
Product
6.7
Default
Default
N/A
Product
Product
7.0
Default
Default
Default
Product
Default

在基于Linux的虚拟设备(vCSA)上禁用vCenter Server插件

1. 使用SSH会话和root凭据连接到vCSA。
2. 备份/etc/vmware/vsphere-ui/compatibility-matrix.xml文件:
cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xml /etc/vmware/vsphere-ui/compatibility-matrix.xml.backup
3.在文本编辑器中打开compatibility-matrix.xml文件:
vi /etc/vmware/vsphere-ui/compatibility-matrix.xml
注意:未编辑文件的内容应类似于:

【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新 

4. 要禁用所有具有已知漏洞的插件,请添加以下行,如下所示:

注意:这些条目应添加在上面突出显示的-> 和<!-条目之间。

<PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>
注意:该文件应如下所示:

【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新

5.保存并关闭compatible-matrix.xml文件:
:wq!
6. 使用以下命令停止并重新启动vsphere-ui服务: 
service-control --stop vsphere-ui service-control --start vsphere-ui
在vSphere Client(HTML5)中,可以在 管理 >解决方案>客户端插件 下将VMware Virtual SAN运行状况检查插件视为不兼容,如下所示:

7.0视图

【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新

6.7视图

【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新

 

在基于Windows的vCenter Server部署中禁用vCenter Server插件

1.RDP到基于Windows的vCenter Server。
2.备份C:ProgramDataVMwarevCenterServercfgvsphere-uicompatibility-matrix.xml文件。
3.在文本编辑器中打开compatibility-matrix.xml文件:

注意:未编辑文件的内容应类似于以下内容:

【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新

4.要禁用所有具有已知漏洞的插件,请添加以下行,如下所示:

注意:这些条目应添加在-> 和<!- 条目上方上方突出显示的

<PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>

注意:该文件应如下所示:

【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新

5.保存并关闭文件。
6.在Windows命令提示符下,使用以下命令停止并重新启动vsphere-ui服务:
C:Program FilesVMwarevCenter Serverbin> service-control --stop vsphere-ui C:Program FilesVMwarevCenter Serverbin> service-control --start vsphere-ui
在vSphere Client(HTML 5)中,可以在“管理 >“解决方案 >“客户端插件下将禁用的插件视为不兼容,如下所示:

【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新


恢复基于Linux的虚拟设备(vCSA)上的解决方法

1.使用SSH会话和root凭据连接到vCSA。
2.在文本编辑器中打开compatibility-matrix.xml文件:
vi /etc/vmware/vsphere-ui/compatibility-matrix.xml
3. 删除文件中的以下行。 
<PluginPackage id="com.vmware.vrops.install" status="incompatible"/>     <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/>     <PluginPackage id="com.vmware.vrUi" status="incompatible"/>     <PluginPackage id="com.vmware.vum.client" status="incompatible"/>     <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>
4.保存并关闭文件:
:wq!
5.使用以下命令停止并重新启动vsphere-ui服务: 
service-control --stop vsphere-ui.service-control --start vsphere-ui
6.验证vsphere-ui服务已启动。

复基于Windows的vCenter Server部署的解决方法

1.连接到Windows vCenter Server。
2.使用文本编辑器打开 C:ProgramDataVMwarevCenterServercfgvsphere-uicompatibility-matrix.xml
3.删除文件中的以下行。
<PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>
4.保存并关闭文件。
5.在Windows命令提示符下,使用以下命令停止并重新启动vsphere-ui服务: 
C:Program FilesVMwarevCenter Serverbin> service-control --stop vsphere-uiC:Program FilesVMwarevCenter Serverbin> service-control --start vsphere-ui
6.验证vsphere-ui服务已启动。



产品解决方案

奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2106032000” 及以上版本并启用规则ID: 1248501进行检测。


奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对VMware vCenter Server远程代码执行漏洞(CVE-2021-21985)的防护。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6739,建议用户尽快升级检测规则库至2106032100以后版本并启用该检测规则。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0601.12854上版本。规则名称:VMware vCenter Server远程代码执行漏洞(CVE-2021-21985),规则ID:0x10020D7A。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。



参考资料

[1]https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html

[2]https://www.vmware.com/security/advisories/VMSA-2021-0010.html

[3]https://kb.vmware.com/s/article/83829



时间线

2021年5月26日,奇安信 CERT发布安全风险通告

2021年6月3日,奇安信 CERT发布安全风险通告第二次更新



【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情






【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓

本文始发于微信公众号(奇安信 CERT):【通告更新】奇安信CERT已复现,产品已支持防护,VMware产品多个高危漏洞安全风险通告第二次更新

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: