本周VMware修补三项产品漏洞,包括vCenter RCE漏洞。企业最好立即修补,因为安全厂商观察到网络上已经出现扫描活动,可能是攻击前兆。
本周VMware修补的三项漏洞中,以Positive Technologies研究人员Mikhail Klyuchnikov通报的CVE-2021-21972最危险。这项漏洞出在vSphere Client (HTML5)于vCenter的插件软件上,攻击者若具备port 443网络访问权限,即可向vCenter Server发送调用,进而在底层OS上写入webshell,以最高权限执行任意指令。vCenter是VMWare管理数据中心内所有实体及虚拟机的统一管理软件。
CVE-2021-21972漏洞在CVSS 3.1风险评分表达到9.8分,属于重大风险漏洞,影响产品包括vCenter Server6.5、6.7、7.0.1,及混合云平台Cloud Foundation 3. x和4.x版。VMware已经发布更新版本。
周四安全厂商Bad Packet表示,已侦测到网络上有针对未修补的vCenter服务器的大规模扫描活动。
早在VMware修补该漏洞同时,Bleeping Computer报道,去年10月Positive Technologies就发现漏洞,但仅通报VMware,直到网络上已出现至少有2款概念验证攻击(Proof-of -Concept)攻击程序,促使他们提前公布。
ZDNet报道,一度有6,700台vCenter服务器连上网络。通过Shodan搜索引擎扫描,目前也有900多台。
VMware本周修补的另外二项漏洞,分别是vCenter Server插件vRealize Operations (vROps) 上的服务器端请求伪造(Server Side Request Forgery)漏洞CVE-2021-21973,以及虚拟化平台ESXi其中Open SLP服务的堆积缓冲溢出(heap-overflow)漏洞CVE-2021-21974,风险层级各为5.3及8.8。