0x01事件简述
2021年02月24日,360CERT监测发现VMware
发布了Vcenter Server
、ESXI
的风险通告,事件等级:严重
,事件评分:9.8
。
VMware更新了ESXI
和vSphere Client(HTML5)
中的两个高危漏洞,具有网络端口访问权限的恶意攻击者可以通过漏洞执行任意代码。
对此,360CERT建议广大用户及时将Vcenter Server
与ESXI
产品升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02风险等级
360CERT对该事件的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 严重 |
影响面 | 广泛 |
360CERT评分 | 9.8 |
0x03漏洞详情
CVE-2021-21972: 代码执行漏洞
具有443端口访问权限的恶意攻击者可以通过向vCenter Server
发送精心构造的请求,最终造成远程任意代码执行。
CVE-2021-21974: 堆溢出漏洞
与ESXI处于同一网段且可以访问427端口的恶意攻击者可以构造恶意请求包触发OpenSLP
服务中的堆溢出漏洞,最终造成远程代码执行。
0x04影响版本
– vmware:esxi
: 7.0/6.7/6.5
– vmware:vcenter_server
: 7.0/6.7/6.5
0x05修复建议
通用修补建议
CVE-2021-21972:
– vCenter Server
7.0版本升级到7.0.U1c
– vCenter Server
6.7版本升级到6.7.U3l
– vCenter Server
6.5版本升级到6.5 U3n
CVE-2021-21974:
– ESXi
7.0版本升级到ESXi70U1c-17325551
– ESXi
6.7版本升级到ESXi670-202102401-SG
– ESXi
6.5版本升级到ESXi650-202102101-SG
临时修补建议
CVE-2021-21972
1. SSH远连到vCSA(或远程桌面连接到Windows VC)
2. 备份以下文件:
– Linux系文件路径为:/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)
– Windows文件路径为:C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui (Windows VC)
3. 使用文本编辑器将文件内容修改为:
4. 使用vmon-cli -r vsphere-ui
命令重启vsphere-ui
服务 5. 访问https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister
,显示404错误
6. 在vSphere Client
的Solutions->Client Plugins
中VMWare vROPS
插件显示为incompatible
CVE-2021-21974
1. 使用/etc/init.d/slpd stop
命令在ESXI主机上停止SLP服务(仅当不使用SLP服务时,才可以停止该服务。可以使用esxcli system slp stats get
命令查看服务守护程序运行状态) 2. 使用esxcli network firewall ruleset set -r CIMSLP -e 0
命令禁用SLP服务 3. 使用chkconfig slpd off
命令保证此更改在重启后持续存在 4. 利用chkconfig --list | grep slpd
命令检查是否在重启后更改成功,若回显为slpd off
则证明成功
0x06相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现vCenter Server
具体分布如下图所示。
ESXI
具体分布如下图所示。
0x07产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
0x08时间线
2021-02-23 VMware官方发布安全通告
2021-02-24 360CERT发布通告
0x09参考链接
0x0a特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。