安全通告-VMware多个高危漏洞

日期:2021-04-15 浏览:6435

漏洞描述

2021年02月24日,监测发现VMware发布了Vcenter Server、ESXI的风险通告,VMware更新了ESXI和vSphere Client(HTML5)中的两个高危漏洞,具有网络端口访问权限的恶意攻击者可以通过漏洞执行任意代码。

对此,建议广大用户及时将Vcenter Server与ESXI产品升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

漏洞编号

CVE-2021-21972、CVE-2021-21974

漏洞危害

CVE-2021-21972:代码执行漏洞

具有443端口访问权限的恶意攻击者可以通过向vCenter Server发送精心构造的请求,最终造成远程任意代码执行。

CVE-2021-21974:堆溢出漏洞

与ESXI处于同一网段且可以访问427端口的恶意攻击者可以构造恶意请求包触发OpenSLP服务中的堆溢出漏洞,最终造成远程代码执行。

漏洞等级

高危

受影响版本

vmware:esxi:7.0/6.7/6.5

vmware:vcenter_server:7.0/6.7/6.5

修复方案

1) 通用修补建议

CVE-2021-21972:

vCenter Server7.0版本升级到7.0.U1c

vCenter Server6.7版本升级到6.7.U3l

vCenter Server6.5版本升级到6.5 U3n


CVE-2021-21974:

ESXi7.0版本升级到ESXi70U1c-17325551

ESXi6.7版本升级到ESXi670-202102401-SG

ESXi6.5版本升级到ESXi650-202102101-SG

2) 临时修补建议

CVE-2021-21972:

1. SSH远连到vCSA(或远程桌面连接到Windows VC);

2. 备份以下文件:

Linux系文件路径为:/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)

Windows文件路径为:C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui (Windows VC)

3. 使用文本编辑器将文件内容修改为:

image.png

4. 使用vmon-cli -r vsphere-ui命令重启vsphere-ui服务;

5. 访问https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister,显示404错误;

image.png

6. 在vSphere Client的Solutions->Client Plugins中VMWare vROPS插件显示为incompatible。

image.png

CVE-2021-21974:

1. 使用/etc/init.d/slpd stop命令在ESXI主机上停止SLP服务(仅当不使用SLP服务时,才可以停止该服务。可以使用esxcli system slp stats get命令查看服务守护程序运行状态);

2. 使用esxcli network firewall ruleset set -r CIMSLP -e 0命令禁用SLP服务;

3. 使用chkconfig slpd off命令保证此更改在重启后持续存在;

4. 利用chkconfig --list | grep slpd命令检查是否在重启后更改成功,若回显为slpd off则证明成功。

参考链接

1. https://www.vmware.com/security/advisories/VMSA-2021-0002.html