1、漏洞背景描述
5月25日,VMware发布了有关两个漏洞的安全公告(VMSA-2021-0010),vCenter Server是VMware vSphere系统的集中管理软件。VMware针对vCenter Server中的一个严重的远程执行代码漏洞发布了补丁程序,强烈建议使用VMware vCenter软件企业尽快应用补丁程序。
2、漏洞概述
CVE-2021-21985是通过Virtual SAN(vSAN)运行状况检查插件在vSphere Client中执行的远程代码执行漏洞,默认情况下处于启用状态。此漏洞的CVSSv3评分为9.8,这是一个严重级别的漏洞。CVE-2021-21986是多个vCenter Server插件中的身份验证机制问题,其分配的CVSSv3评分为6.5,使其严重度为中等。
3、漏洞风险
CVE-2021-21985:要利用此漏洞,攻击者将需要能够通过443端口访问vCenter Server。即使企业没有在外部公开vCenter Server,攻击者一旦通过其他方式(例如,鱼叉式网络钓鱼)获得对网络的访问权限,进入网络之后,他们仍然可以利用此漏洞。VMware特别说明勒索团体善于利用此类漏洞,成功利用漏洞将使攻击者能够在基础vCenter主机上执行任意命令。
CVE-2021-21986:可以通过443端口被利用,使攻击者无需身份验证即可执行插件功能。受影响的vCenter Server插件包括:
vSAN Health Check
Site Recovery
vSphere Lifecycle Manager
VMware Cloud Director Availability
4、漏洞影响
vCenter Server 6.5、6.7和7.0版本
5、修复建议
VMware已发布了补丁来修补这两个漏洞,建议用户通过打补丁紧急缓解此漏洞,尤其是CVE-2021-21985。
VMware发布缓解此漏洞的临时方案:
https://kb.vmware.com/s/article/83829
VMwaregua关于此漏洞的博客文章:
https://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html