发布时间:2021-05-26 14:20:35,来源:北京奇虎科技有限公司、杭州安恒信息技术股份有限公司、上海斗象信息科技有限公司
一、基本情况
VMware官方发布安全公告,修复了VMware vCenter Server和VMware Cloud Foundation存在远程代码执行漏洞和身份验证漏洞,相关CVE编号:CVE-2021-21985,CVE-2021-21986。其中CVE-2021-21985漏洞攻击复杂度低,且不需要用户交互。攻击者可利用该漏洞在目标系统上执行任意命令,从而获得目标系统的管理权限。建议受影响用户及时至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞描述
VMware vCenter Server是VMware一套服务器虚拟化管理平台,广泛的应用于企业私有云内网中。
该漏洞是由于vCenter Server默认启用的Virtual SAN(vSAN)运行状况检查插件缺少输入验证而导致的。攻击者需要通过443端口访问vCenter Server,成功利用该漏洞的攻击者在目标系统上执行任意命令。
三、 影响范围
VMware vCenter Server 7.0
VMware vCenter Server 6.7
VMware vCenter Server 5.5
Cloud Foundation(vCenter Server) 4.x
Cloud Foundation(vCenter Server) 3.x
四、 安全建议
1.官方建议:
目前官方已发布安全版本进行漏洞修复,建议受影响用户及时升级。
VMware vCenter Server 7.0升级至7.0 U2b版本;
VMware vCenter Server 6.7升级至6.7 U3n版本;
VMware vCenter Server 5.5升级至6.5 U3p版本
Cloud Foundation(vCenter Server) 4.x升级至4.2.1版本;
Cloud Foundation(vCenter Server) 3.x升级至4.2.1版本;
2.临时缓解措施
临时缓解更改为:通过禁用受影响插件的方式临时缓解漏洞影响,具体操作请参考:https://kb.vmware.com/s/article/83829。
五、 参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pi-epnm-cmd-inj-YU5e6tB3