就在幾天前,一些互聯網公司監測到 VMware 官方發布安全公告,披露了包括 CVE-2021-21972、CVE-2021-21973 和 CVE-2021-21974 在內的高危漏洞。攻擊者可以通過發送精心構造的惡意數據包造成遠程執行代碼,獲取接管服務器權限,存在極大的安全隱患。
公告中披露的最顯著的漏洞是 CVE-2021-21972,vCenter Server 中的一個關鍵遠程代碼執行(RCE)缺陷。
2 月 24 日,國家信息安全漏洞共享平臺(CNVD)收錄了 VMware vCenter Server 遠程代碼執行漏洞(CNVD-2021-12322,對應 CVE-2021-21972)、VMware ESXi OpenSLP 堆溢出漏洞(CNVD-2021-12321,對應 CVE-2021-21974)。
VMware 高危漏洞
黑客們正在大規模的掃描互聯網,尋找 VMware 服務器的代碼執行漏洞,該漏洞的嚴重等級為 9.8(滿分 10)。
在 VMware 官方發布安全通告中,披露了 vSphere Client、ESXi 的兩個高危漏洞。
CVE-2021-21972:vSphere Client(HTML5)在 vCenter Server 插件 vRealize Operations 中包含一個遠程執行代碼漏洞,CVSSv3 評分 9.8。受影響的 vRealize Operations 插件為默認安裝。
CVE-2021-21974:ESXi 中使用的 OpenSLP 存在堆溢出漏洞,CVSSv3 評分 8.8。與 ESXi 處于同一網段中且可以訪問 427 端口的攻擊者可觸發 OpenSLP 服務中的堆溢出問題,從而導致遠程執行代碼。
其中 CVE-2021-21974 是 VMware vCenter server 中的一個遠程代碼執行漏洞,該漏洞是一個 Windows 或 Linux 應用程序,管理員使用它來啟用和管理大型網絡的虛擬化。在 VMware 發布補丁的一天之內,至少有六個不同的源出現了概念驗證漏洞。該漏洞的嚴重程度,再加上 Windows 和 Linux 機器都有可用的可利用漏洞,使得黑客們爭先恐后地積極尋找易受攻擊的服務器。
一天之內檢測到 CVE-2021-21972 的質量掃描活動2 月 24 日,即 VMware 發布其通告的第二天,Bad Packets 首席研究官 Troy Mursch 發推文說,已檢測到大規模掃描活動,正在搜索易受攻擊的 vCenter Server。
Mursch 說,BinaryEdge 搜索引擎發現了近 15000 個暴露在 Internet 上的 vCenter server,而 Shodan 搜索發現了大約 6700 個。大規模掃描的目的是識別尚未安裝該補丁的服務器,VMware 已于周二發布了該補丁。
漏洞導致不受限制的遠程代碼執行權限
網絡安全公司 Tenable 發文表示道,CVE-2021-21972 允許黑客在沒有授權的情況下將文件上傳到易受攻擊的 vCenter server 上,這些服務器可以通過 443 端口公開訪問。成功利用漏洞將導致黑客在底層操作系統中獲得不受限制的遠程代碼執行權限。該漏洞源于默認安裝的 vRealize 操作插件中缺少身份驗證。
在通用漏洞評分系統(CVSS)3.0 版上,該漏洞的嚴重性得分為 9.8 分(滿分為 10.0 分)。來自 Positive Technologies 公司的 Mikhail Klyuchnikov 發現了該漏洞,并私下向 VMware 報告了該漏洞,他將 CVE-2021-21972 與 CVE-2019-19781 的風險進行了比較,而 CVE-2019-19781 是 Citrix 應用程序交付控制器中的一個關鍵漏洞。
去年年初,研究人員在 Citrix ADC 和 Citrix 網關設備中發現一個嚴重漏洞——CVE-2019-19781。未授權的攻擊者可以利用該漏洞來入侵設備。雖然沒有公布漏洞相關的細節,但 Citrix 發布的公告中仍然給出了該漏洞類型的一些線索。
CVE-2019-19781 漏洞存在于路徑 / vpns / 中,因此這可能是一個目錄遍歷漏洞。
在早些時候,Klyuchnikov 在文章《VMware fixes dangerous vulnerabilities that threaten many large companies》中寫道:
我們認為,vCenter Server 中的 RCE 漏洞所造成的威脅不亞于 Citrix 中漏洞(CVE-2019-19781)。該錯誤允許未經授權的用戶發送專門的 crafted 請求,此請求稍后將使他們有機會在服務器上執行任意命令。在獲得這樣的機會后,攻擊者可以發起攻擊,成功地通過公司網絡進行移動,并獲得對存儲在被攻擊系統中的數據(如有關虛擬機和系統用戶的信息)的訪問權限。如果可以從 Internet 訪問易受攻擊的軟件,這將允許外部攻擊者穿透公司的外部邊界,并訪問敏感數據。我想再次指出,這個漏洞是危險的,因為它可以被任何未經授權的用戶使用。
漏洞修復
CVE-2021-21972 會影響 6.5、6.7 和 7.01 版本的 vCenter Server 。用戶在使用其中一個版本時應盡快更新到安全版本:
vCenter Server 7.0 版本升級到 7.0.U1c;
vCenter Server 6.7 版本升級到 6.7.U3l;
vCenter Server 6.5 版本升級到 6.5 U3n。
那些不能立即安裝補丁的用戶應該采用《VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)》給出的變通辦法,其中包括更改兼容性列表文件并將 vRealize 插件設置為不兼容。將 vCenter Server 直接暴露給 Internet 的管理員應強烈考慮遏制這種做法,或者至少使用 VPN。