威胁直击 | VMware vCenter Server多个高危漏洞安全通告
漏洞描述
9月22日,亚信安全CERT监控到VMware官方发布安全更新,修复了VMware vCenter Server任意文件上传漏洞(CVE-2021-22005)在内的多个漏洞。
VMware vCenter Server是VMware的虚拟化管理平台,其主要提供对vSphere虚拟基础架构的集中管理,基于vCenter,管理员可以轻松的管理上百台虚拟化环境机器,简化日常任务并降低管理虚拟基础架构的复杂性。
亚信安全CERT建议使用VMware vCenter Server或VMware Cloud Foundation的客户尽快修复漏洞并自查服务器的安全状况。
漏洞编号
CVE-2021-21991 :VMware vCenter Server本地提权漏洞
CVE-2021-22005 :VMware vCenter Server文件上传漏洞
CVE-2021-22006 :VMware vCenter Server反向代理绕过漏洞
CVE-2021-22011 :VMware vCenter Server未经身份验证的 API 端点漏洞
CVE-2021-22012 :VMware vCenter Server未经身份验证的 API 信息泄露漏洞
CVE-2021-22013 :VMware vCenter Server目录遍历漏洞
CVE-2021-22015 :VMware vCenter Server本地提权漏洞
CVE-2021-22017 :VMware vCenter Server rhttpproxy绕过漏洞
漏洞状态
受影响的版本
VMware vCenter Server 6.5.*
VMware vCenter Server 6.7.*
VMware vCenter Server 7.0.*
VMware Cloud Foundation (vCenter Server) 3.*
VMware Cloud Foundation (vCenter Server) 4.*
修复建议
1. 请尽快升级到安全版本
VMware vCenter Server 6.5 U3q
VMware vCenter Server 6.7 U3o
VMware vCenter Server 7.0 U2c
VMware Cloud Foundation (vCenter Server) KB85718 (4.3)
VMware Cloud Foundation (vCenter Server) KB85719 (3.10.2.2)
2.漏洞缓解措施
官方针对Linux操作系统中运行VMware vCenter Server的情况,提供CVE-2021-22005漏洞缓解措施:
https://kb.vmware.com/s/article/85717
官方缓解措施
1. 第一种缓解措施
a
使用SSH会话方式和root登陆凭据连接到vCSA
b
将使用脚本传输到 "/etc/tmp" 目录下,执行ls -la /var/tmp命令来查看已确保您复制的内容被成功复制。
c
通过 python、python3.5 或 python3.7 来执行您复制的脚本,具体使用的 python 版本取决于您的 vCenter 的具体版本,脚本文件执行路径需根据您上传的位置进行文件路径的更改。范例如下:
python /var/tmp/VMSA-2021-0020.py 或
python3.5 /var/tmp/VMSA-2021-0020.py 或
python3.7 /var/tmp/VMSA-2021-0020.py
➢ 该脚本会在执行后执行如下操作
创建 ph-web.xml 文件的备份
更新 ph-web.xml 文件
创建更新后的 ph-web.xml 文件的备份
重启分析服务
确认设备不在易受攻击
➢ 脚本执行后的输出内容(此处使用python 3.5执行脚本)
d
脚本下载地址:
https://kb.vmware.com/sfc/servlet.
shepherd/version/download/
0685G00000XYdkVQAT
2. 第二种缓解措施
a. 使用SSH会话方式和root登陆凭据连接到vCSA
b. 备份/etc/vmware-analytics/ph-web.xml文件
CSS
cp /etc/vmware-analytics/ph-web.xml /etc/vmware-analytics/ph-web.xml.backup
c. 使用vi或vim文本编辑器编辑/etc/vmware-analytics/ph-web.xml文件
Nginx
vi /etc/vmware-analytics/ph-web.xml
d. ph-web.xml文件的具体内容如下图
e. 按下键盘上的字母 "I" 使vi或vim文本编辑器进入 "Insert" 模式(插入模式)
f. 通过键盘上的上下按键定位到 "<list>"行,具体如下图
g. 当定位到 "<list>" 行之后,按下键盘上的 "Enter" 键,输入 "<!--",具体如下图所示
h. 通过键盘上的上下按键找到 "</bean>" 标签后面的 "<property name="servlet" ref="phPhStgApiServlet"/>" 行,若您在 6.7 的旧版本(u1b 或更早版本)上,您应该跳转到 "<property name="servlet”之后的 "<bean>"标签后面的"ref="phTelemetryServlet"/>"行,具体可参考如下图
i. 找到所在位置后,按下键盘上的 "Enter" 键,并输入 "-->",具体可参考如下图
j. 按下键盘上的 "Esc" 键退出插入模式,然后输入 ":wq" 或 ":wq!" 保存并退出文件
k. 通过输入 "service-control --restart vmware-analytics" 重启vmware-analytics service服务来完成修改。
l. 最后为了确保修改后的方法生效,可通过运行以下命令来进行测试
Apache
curl -X POST "http://localhost:15080/analytics/telemetry/ph/api/hyper/send?_c&_i=test" -d "Test_Workaround" -H "Content-Type: application/json" -v 2>&1 | grep HTTP
m. 若修改是生效的,此时应该是返回404错误页。显示如下图
参考链接
行业热点:
威胁周报 | 微软新0day已遭滥用,亚信安全可有效发现并拦截攻击
高危!Atlassian Confluence远程代码执行漏洞安全风险通告
了解亚信安全,请点击“阅读原文”