VMware已推出补丁程序,以解决vCenter Server中的一个关键安全漏洞,攻击者可以利用该漏洞在服务器上执行任意代码。
跟踪为CVE-2021-21985(CVSS评分9.8),此问题源于Virtual SAN(vSAN)运行状况检查插件中缺少输入验证,该插件在vCenter Server中默认启用。“通过网络访问端口443恶意者可以利用此漏洞对底层操作系统上执行不受限制的特权命令在托管vCenter Server,” VMware的说,在其咨询。
VMware vCenter Server是一种服务器管理实用程序,用于从单个集中位置控制虚拟机,ESXi主机和其他从属组件。该漏洞影响vCenter Server 6.5、6.7和7.0版本以及Cloud Foundation 3.x和4.x版本。VMware感谢360 Noah Lab的Ricter Z报告了此漏洞。
该修补程序版本还纠正了vSphere Client中的身份验证问题,该问题会影响Virtual SAN运行状况检查,站点恢复,vSphere Lifecycle Manager和VMware Cloud Director可用性插件(CVE-2021-21986,CVSS得分:6.5),从而允许攻击者无需任何身份验证即可执行插件允许的操作。
尽管VMware强烈建议客户应用“紧急更改”,但该公司已发布了一种解决方法,将插件设置为不兼容。该公司指出:“禁用这些插件将导致这些插件提供的管理和监视功能丧失。”
“谁也放在网络,直接从互联网访问他们的vCenter Server组织[…]应审核其系统的妥协,” VMware的补充。“他们还应该采取措施在其基础架构的管理界面上实施更多的外围安全控制(防火墙,ACL等)。”
CVE-2021-21985是VMware在vCenter Server中纠正的第二个严重漏洞。今年2月初,它解决了vCenter Server插件(CVE-2021-21972)中的一个远程执行代码漏洞,该漏洞可被滥用以在托管服务器的基础操作系统上以不受限制的特权运行命令。
该公司还修补了VMware vRealize Business for Cloud中的另一个严重的远程执行代码错误(CVE-2021-21984,CVSS得分:9.8)之后,vCenter漏洞得到了修复,这是由于未经授权的端点可能被恶意参与者利用。网络访问以在设备上运行任意代码。
以前,VMware推出了更新程序以修复VMware Carbon Black Cloud Workload和vRealize Operations Manager解决方案中的多个缺陷。
*编译:Domino
*来自:thehackernews