VMware vCenter上周传出网络上已有漏洞开采活动,尽管安全公司及美国政府呼吁企业修补,不过网络上仍然有大量VMware主机曝险。
VMware上个月底修补CVE-2021-21985及CVE-2021-21986,其中CVE-2021-21985为9.8风险层级的远程程序代码执行漏洞,出在默认打开的vSphere用户端软件(Virtual SAN Check插件程序)上,成功开采可能造成攻击者取得受害主机控制权。安全厂商Bad Packet就发现其一台搭载VMware服务器管理软件vCenter的诱捕系统侦测到CVE-2021-21985的开采活动,活动来源是分别托管于香港、中国、新加坡及德国IP多台服务器上的概念验证程序。
Singtel旗下安全公司TrustWave近日则以Shodan搜索引擎搜索,网络上还有多少未修补漏洞的vCenter Server。
根据Shodan搜索结果显示,还有5,271台直接连上互联网,分析资料显示,大部分的vCenter主机跑的是受到2个漏洞影响的版本,包括6.7.0、6.5.0和7.0.x。其他数据显示,连接最多的传输端口是443,达5,076台,可能是SSL/TLS连接。
目前网络上已经出现至少4个针对CVE-2021-21985的概念验证程序。
美国网络安全及基础架构安全局也警告未修补的产品可能曝险,呼吁用户尽快升级到最新版本软件。若无法立即修补,研究人员也提供了暂时缓解决方案法,在compatibility-matrix.xml档中的“pluginsCompatibility”下输入指令,目的在关闭受2项漏洞影响的插件程序。
参考资料(如需详细信息请洽厂商)
影响VMware vCenter Server (vCenter Server)、VMware Cloud Foundation (Cloud Foundation)的CVE -2021-21985, CVE-2021-21986官方修补信息(2021-05-25公告):https://www.vmware.com/security/advisories/VMSA-2021-0010.html、https://blogs. vmware.com/vsphere/2021/05/vmsa-2021-0010.html