漏洞情报 | VMware vCenter Server远程代码执行漏洞

漏洞情报 | VMware vCenter Server远程代码执行漏洞

2021年5月25日,VMware针对vCenter Server中的一个严重的远程执行代码漏洞发布了补丁程序,vCenter Server是VMware vSphere系统的集中管理软件。

VMware安全通告VMSA-2021-0010:https://www.vmware.com/security/advisories/VMSA-2021-0010.html

受影响版本:

  • VMware vCenter Server (vCenter Server 6.5、6.7和7.0)
  • VMware Cloud Foundation (Cloud Foundation 3.x和4.x)

漏洞分析:

CVE-2021-21985是通过Virtual SAN(vSAN)运行状况检查插件在vSphere Client中执行的远程代码执行漏洞,默认情况下处于启用状态。此漏洞的CVSSv3评分为9.8,这是一个严重级别的漏洞。

要利用此漏洞,攻击者将需要通过443端口访问vCenter Server。即使企业没有在外部公开vCenter Server,攻击者一旦通过其他方式(例如,鱼叉式网络钓鱼)获得对网络的访问权限,进入网络之后,他们仍然可以利用此漏洞。VMware特别说明勒索团体善于利用此类漏洞(例如,这种后危害),成功利用漏洞将使攻击者能够在基础vCenter主机上执行任意命令。

CVE-2021-21986是多个vCenter Server插件中的身份验证机制问题,其分配的CVSSv3评分为6.5,使其严重度为中等。受影响的vCenter Server插件包括:vSAN Health Check, Site Recovery, vSphere Lifecycle Manager, VMware Cloud Director Availability, CVE-2021-21986还可以通过443端口被利用,使攻击者无需身份验证即可执行插件功能。

这两个漏洞都会影响vCenter Server 6.5、6.7和7.0版本。

解决方案:

VMware已发布了补丁来修补这两个漏洞,建议尽快更新,尤其是CVE-2021-21985。

受影响产品版本已修复版本
vCenter Server 6.56.5 U3p
vCenter Server 6.76.7 U3n
vCenter Server 7.07.0 U2b
受影响产品版本已修复版本
Cloud Foundation 3.x3.10.2.1
Cloud Foundation 4.x4.2.1

如果暂时无法打补丁,VMware也给了临时解决方案,请参考:https://kb.vmware.com/s/article/83829,临时解决方案只是一些临时缓解措施,用户仍需要应用补丁。

vCenter补丁安装可参考文档:如何升级vCenter(VCSA)补丁?

补丁下载:VMware常用软件ISO下载汇总(2021年5月更新)

dinghui.org

关注虚拟化及IT技术发展!