漏洞公告
2021年5月25日,VMware官方更新发布了VMware vCenter Server和VMware Cloud Foundation产品存在一处远程代码执行漏洞的公告,对应CVE编号:CVE-2021-21985, 相关链接参考:
https://www.vmware.com/security/advisories/VMSA-2021-0010.html
根据公告,漏洞存在于vSphere Client(HTML5)包含的vCenter Server插件中,恶意攻击者成功利用该漏洞能对部署在vCenter Server上的系统执行特权命令,实现代码执行效果,从而获得目标系统管理权限,建议尽快测试最新安全版本并及时升级。
VMware历史安全漏洞公告参考:
https://www.vmware.com/security/advisories.html
一
影响范围
CVE-2021-21985远程代码执行漏洞主要影响以下VMware vCenter Server和Cloud Foundation版本:
VMware vCenter Server 7.0版本,建议更新到7.0 U2b版本;
VMware vCenter Server 6.7版本,建议更新到6.7 U3n版本;
VMware vCenter Server 5.5版本,建议更新到6.5 U3p版本;
Cloud Foundation (vCenter Server) 4.x版本,建议更新到4.2.1版本;
Cloud Foundation (vCenter Server) 3.x版本,建议更新到3.10.2.1版本。
通过安恒SUMAP平台对全球部署的VMware vCenter Server进行统计,最新查询分布情况如下:
国内分布:
二
漏洞描述
根据分析,在vSphere Client(HTML5)包含的vCenter Server插件存在漏洞,恶意攻击者成功利用该漏洞能对部署在vCenter Server上的系统执行特权命令,从而实现代码执行效果。
三
缓解措施
高危:目前漏洞细节和利用代码暂未公开,建议尽快测试漏洞修复的版本并及时升级。
由于受影响插件在vCenter Server为默认安装,建议参考官方加固指南对其禁用,修改配置文件(注意备份):
/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)
C:ProgramDataVMwarevCenterServercfgvsphere-uicompatibility-matrix.xml (Windows VC)
寻找以下行:
在-->和<!—之间添加以下内容:
<PluginPackage id="com.vmware.vrops.install" status="incompatible"/><PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/><PluginPackage id="com.vmware.vrUi" status="incompatible"/><PluginPackage id="com.vmware.vum.client" status="incompatible"/><PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>
需要重启vsphere-ui服务生效,更多操作参考:
https://kb.vmware.com/s/article/83829
安恒应急响应中心
2021年05月
本文始发于微信公众号(安恒信息应急响应中心):VMware vCenter Server和VMware Cloud Foundation高危漏洞风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论