近日,VMware 已推出补丁以解决 vCenter Server 中的一个关键安全漏洞,攻击者可能会利用该漏洞在服务器上执行任意代码。
该问题被跟踪为 CVE-2021-21985(CVSS 分数 9.8),该问题源于 Virtual SAN ( vSAN ) 运行状况检查插件中缺少输入验证,该插件在 vCenter Server 中默认启用。“通过网络访问端口443恶意者可以利用此漏洞对底层操作系统上执行不受限制的特权命令在托管vCenter Server,” VMware的说,在其咨询。
VMware vCenter Server 是一种服务器管理实用程序,用于从单个集中位置控制虚拟机、ESXi 主机和其他相关组件。该缺陷影响 vCenter Server 版本 6.5、6.7 和 7.0 以及 Cloud Foundation 版本 3.x 和 4.x。VMware 认为 360 Noah Lab 的 Ricter Z 报告了该漏洞。
国际知名白帽黑客、东方联盟创始人郭盛华透露:”该修补程序版本还纠正了 vSphere Client 中影响 Virtual SAN Health Check、Site Recovery、vSphere Lifecycle Manager 和 VMware Cloud Director 可用性插件的身份验证问题(CVE-2021-21986,CVSS 评分:6.5),从而允许攻击者无需任何身份验证即可执行插件允许的操作。“
虽然 VMware 强烈建议客户应用“紧急更改”,但该公司已发布了将插件设置为不兼容的变通方法。“禁用这些插件将导致插件提供的管理和监控功能的丧失,”该公司指出。
VMware补充道:“将 vCenter Server 放置在可从 Internet 直接访问的网络上的组织 ,应审核其系统是否受到攻击,他们还应该采取措施在其基础设施的管理界面上实施更多的外围安全控制(防火墙、ACL 等)。”
CVE-2021-21985 是 VMware 在 vCenter Server 中修复的第二个严重漏洞。今年 2 月初,它解决了 vCenter Server 插件 ( CVE-2021-21972 ) 中的一个远程代码执行漏洞,该漏洞可能被滥用以在托管服务器的底层操作系统上以不受限制的权限运行命令。
在该公司修补了 VMware vRealize Business for Cloud 中的另一个关键远程代码执行错误(CVE-2021-21984,CVSS 评分:9.8)之后,针对 vCenter 缺陷的修复也是在此之后发布的,该错误可能会被恶意行为者利用网络访问以在设备上运行任意代码。
此前,VMware 已推出更新以修复VMware Carbon Black Cloud Workload 和 vRealize Operations Manager 解决方案中的多个缺陷。