就在几天前,有互联网公司检测到VMware官方发布的安全公告,披露的信息包括CVE-2021-21972,CVE-2021-高危漏洞,包括21973和CVE-2021-21974。攻击者可以发送精心构造的恶意数据包,造成远程代码执行,并获得接管服务器的权限,存在极大的安全隐患。公告中披露的最值得注意的漏洞是CVE-2021-21972,这是vCenterServer中的一个关键远程代码执行(RCE)漏洞。2月24日,国家信息安全漏洞共享平台(CNVD)发布了VMwarevCenterServer远程代码执行漏洞(CNVD-2021-12322,对应CVE-2021-21972)、VMwareESXiOpenSLP堆溢出漏洞(CNVD-2021-12321),对应于CVE-2021-21974)。VMware高危漏洞黑客正在互联网上大规模扫描VMware服务器中的代码执行漏洞,其严重等级为9.8(满分10)。在VMware的官方安全公告中,披露了vSphereClient和ESXi中的两个高危漏洞。CVE-2021-21972:vSphereClient(HTML5)在vCenterServer插件vRealizeOperations中包含远程代码执行漏洞,CVSSv3评分为9.8。默认安装受影响的vRealizeOperations插件。CVE-2021-21974:ESXi中使用的OpenSLP存在堆溢出漏洞,CVSSv3评分为8.8。与ESXi处于同一网段且可以访问端口427的攻击者可能会触发OpenSLP服务中的堆溢出,从而导致远程代码执行。其中,CVE-2021-21974是VMwarevCenter服务器中的远程代码执行漏洞,VMwarevCenter服务器是管理员用来启用和管理大型网络虚拟化的Windows或Linux应用程序。在VMware发布补丁的一天之内,概念验证漏洞就出现在至少六个不同的来源中。该漏洞的严重性,再加上Windows和Linux机器都存在可利用的漏洞,黑客们争先恐后地积极寻找易受攻击的服务器。质量扫描活动在一天内检测到CVE-2021-219722月24日,即VMware发布公告的第二天,BadPackets首席研究官TroyMursch在推特上表示,已检测到大规模扫描活动,正在搜索易受攻击的vCenter服务器。Mursch说,BinaryEdge搜索引擎发现了将近15,000个暴露在互联网上的vCenter服务器,而Shodan搜索发现了大约6,700个。大规模扫描的目的是识别尚未安装VMware周二发布的补丁的服务器。漏洞导致远程代码执行权限不受限制网络安全公司Tenable发布文件称,CVE-2021-21972允许黑客在未经授权的情况下将文件上传到易受攻击的vCenter服务器,可通过443端口访问暴露。成功利用该漏洞将使黑客能够在底层操作系统中不受限制地远程执行代码。该漏洞源于默认安装的vRealizeActions插件中缺少身份验证。该漏洞在通用漏洞评分系统(CVSS)3.0版中的严重性评分为9.8(满分10.0)。来自PositiveTechnologies的MikhailKlyuchnikov发现了该漏洞并私下向VMware报告,他将CVE-2021-21972的风险与CVE-2019-19781进行了比较,后者是Citrix应用程序DeliveryController中的一个严重漏洞。去年初,研究人员在CitrixADC和CitrixGateway设备中发现了一个严重漏洞-CVE-2019-19781。未经授权的攻击者可以利用此漏洞来破坏设备。虽然没有发布有关该漏洞的详细信息,但Citrix的公告仍然提供了一些有关漏洞类型的线索。CVE-2019-19781漏洞存在于路径/vpn/,因此这可能是一个目录遍历漏洞。此前,Klyuchnikov在文章《VMware fixes dangerous vulnerabilities that threaten many large companies》中写道:我们认为vCenterServer中的RCE漏洞造成的威胁不亚于Citrix中的漏洞(CVE-2019-19781)。该漏洞允许未经授权的用户发送特制请求,之后他们有机会在服务器上执行任意命令。如果有这样的机会,攻击者可以发起攻击,成功地穿过公司网络并获得对存储在受攻击系统上的数据的访问权限,例如有关虚拟机和系统用户的信息。如果可以从Internet访问易受攻击的软件,这将允许外部攻击者渗透到公司的外部边界并获得对敏感数据的访问权限。我想再次指出,这个漏洞是危险的,因为它可以被任何未经授权的用户利用。漏洞修复CVE-2021-21972影响vCenterServer版本6.5、6.7和7.01。用户在使用以下版本之一时应尽快更新到安全版本:vCenterServer版本7.0至7.0.U1c;vCenterServer版本6.7至6.7.U3l;vCenterServer版本6.5到6.5U3n。那些不能立即安装补丁的人应该使用《VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)》给出的解决方法,包括更改兼容性列表文件和将vRealize插件设置为不兼容。直接将vCenterServer暴露在Internet上的管理员应该强烈考虑遏制这种做法,或者至少使用虚拟专用网络。参考链接:https://zh-cn.tenable.com/blog/cve-2021-21972-vmware-vcenter-server-remote-code-execution-vulnerability?tns_redirect=truehttps://arstechnica.com/information-technology/2021/02/armed-with-exploits-hackers-on-the-prowl-for-a-critical-vmware-vulnerability/https://www.vmware.com/security/advisories/VMSA-2021-0002。html【本文为专栏组织《机器之心》、微信公众号《机器之心(id:almosthuman2014)》原文翻译】点击此处查看作者更多好文
