漏洞预警,VMware远程代码执行漏洞的严重等级达到9.8(满分10)

2021 年 2 月 28 日 机器之心
机器之心报道
机器之心编辑部
2021 年 2 月 23 日,VMware 公司发布漏洞安全公告,VMware 多个组件存在远程代码执行、堆溢出漏洞和信息泄露漏洞的高危漏洞。


就在几天前,一些互联网公司监测到 VMware 官方发布安全公告,披露了包括 CVE-2021-21972、CVE-2021-21973 和 CVE-2021-21974 在内的高危漏洞。攻击者可以通过发送精心构造的恶意数据包造成远程执行代码,获取接管服务器权限,存在极大的安全隐患。


公告中披露的最显著的漏洞是 CVE-2021-21972,vCenter Server 中的一个关键远程代码执行(RCE)缺陷。

2 月 24 日,国家信息安全漏洞共享平台(CNVD)收录了 VMware vCenter Server 远程代码执行漏洞(CNVD-2021-12322,对应 CVE-2021-21972)、VMware ESXi OpenSLP 堆溢出漏洞(CNVD-2021-12321,对应 CVE-2021-21974)。

VMware 高危漏洞

黑客们正在大规模的扫描互联网,寻找 VMware 服务器的代码执行漏洞,该漏洞的严重等级为 9.8(满分 10)。

在 VMware 官方发布安全通告中,披露了 vSphere Client、ESXi 的两个高危漏洞。

  • CVE-2021-21972:vSphere Client(HTML5)在 vCenter Server 插件 vRealize Operations 中包含一个远程执行代码漏洞,CVSSv3 评分 9.8。受影响的 vRealize Operations 插件为默认安装。

  • CVE-2021-21974:ESXi 中使用的 OpenSLP 存在堆溢出漏洞,CVSSv3 评分 8.8。与 ESXi 处于同一网段中且可以访问 427 端口的攻击者可触发 OpenSLP 服务中的堆溢出问题,从而导致远程执行代码。


其中 CVE-2021-21974 是 VMware vCenter server 中的一个远程代码执行漏洞 ,该漏洞是一个 Windows 或 Linux 应用程序,管理员使用它来启用和管理大型网络的虚拟化。在 VMware 发布补丁的一天之内,至少有六个不同的源出现了概念验证漏洞。该漏洞的严重程度,再加上 Windows 和 Linux 机器都有可用的可利用漏洞,使得黑客们争先恐后地积极寻找易受攻击的服务器。

一天之内检测到 CVE-2021-21972 的质量扫描活动

2 月 24 日,即 VMware 发布其通告的第二天,Bad Packets 首席研究官 Troy Mursch 发推文说,已检测到大规模扫描活动,正在搜索易受攻击的 vCenter Server。


Mursch 说,BinaryEdge 搜索引擎发现了近 15000 个暴露在 Internet 上的 vCenter server,而 Shodan 搜索发现了大约 6700 个。大规模扫描的目的是识别尚未安装该补丁的服务器, VMware 已于周二发布了该补丁

漏洞导致不受限制的远程代码执行权限

网络安全公司 Tenable 发文表示道,CVE-2021-21972 允许黑客在没有授权的情况下将文件上传到易受攻击的 vCenter server 上,这些服务器可以通过 443 端口公开访问。成功利用漏洞将导致黑客在底层操作系统中获得不受限制的远程代码执行权限。该漏洞源于默认安装的 vRealize 操作插件中缺少身份验证。


在通用漏洞评分系统(CVSS)3.0 版上, 该漏洞的严重性得分为 9.8 分 (满分为 10.0 分)。来自 Positive Technologies 公司的 Mikhail Klyuchnikov 发现了该漏洞,并私下向 VMware 报告了该漏洞,他将 CVE-2021-21972 与 CVE-2019-19781 的风险进行了比较,而 CVE-2019-19781 是 Citrix 应用程序交付控制器中的一个关键漏洞。

去年年初,研究人员在 Citrix ADC 和 Citrix 网关设备中发现一个严重漏洞——CVE-2019-19781。未授权的攻击者可以利用该漏洞来入侵设备。虽然没有公布漏洞相关的细节,但 Citrix 发布的公告中仍然给出了该漏洞类型的一些线索。


CVE-2019-19781 漏洞存在于路径 / vpns / 中,因此这可能是一个目录遍历漏洞。

在早些时候,Klyuchnikov 在文章《VMware fixes dangerous vulnerabilities that threaten many large companies》中写道:

我们认为,vCenter Server 中的 RCE 漏洞所造成的威胁不亚于 Citrix 中漏洞(CVE-2019-19781)。该错误允许未经授权的用户发送专门的 crafted 请求,此请求稍后将使他们有机会在服务器上执行任意命令。在获得这样的机会后,攻击者可以发起攻击,成功地通过公司网络进行移动,并获得对存储在被攻击系统中的数据(如有关虚拟机和系统用户的信息)的访问权限。如果可以从 Internet 访问易受攻击的软件,这将允许外部攻击者穿透公司的外部边界,并访问敏感数据。我想再次指出,这个漏洞是危险的,因为它可以被任何未经授权的用户使用。



漏洞修复

CVE-2021-21972 会影响 6.5、6.7 和 7.01 版本的 vCenter Server 。用户在使用其中一个版本时应尽快更新到安全版本:


  • vCenter Server 7.0 版本升级到 7.0.U1c;

  • vCenter Server 6.7 版本升级到 6.7.U3l;

  • vCenter Server 6.5 版本升级到 6.5 U3n。


那些不能立即安装补丁的用户应该采用《VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)》给出的变通办法,其中包括更改兼容性列表文件并将 vRealize 插件设置为不兼容。将 vCenter Server 直接暴露给 Internet 的管理员应强烈考虑遏制这种做法,或者至少使用 VPN。

参考链接:
https://zh-cn.tenable.com/blog/cve-2021-21972-vmware-vcenter-server-remote-code-execution-vulnerability?tns_redirect=true
https://arstechnica.com/information-technology/2021/02/armed-with-exploits-hackers-on-the-prowl-for-a-critical-vmware-vulnerability/
https://www.vmware.com/security/advisories/VMSA-2021-0002.html

百万级文献分析,十万字深入解读
2020-2021 全球AI技术发展趋势报告

报告内容涵盖人工智能顶会趋势分析、整体技术趋势发展结论、六大细分领域(自然语言处理、计算机视觉、机器人与自动化技术、机器学习、智能基础设施、数据智能技术、前沿智能技术)技术发展趋势数据与问卷结论详解,最后附有六大技术领域5年突破事件、Synced Indicator 完整数据。

识别下方二维码,立即购买报告。

© THE END 

转载请联系本公众号获得授权

投稿或寻求报道:content@jiqizhixin.com

登录查看更多
0

相关内容

服务器,也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。
服务器的构成包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
756页美国国家安全AI战略报告
专知会员服务
174+阅读 · 2021年3月25日
美国人工智能国家安全委员会发布最终报告, 130页pdf
专知会员服务
137+阅读 · 2021年3月2日
【干货书】Linux命令行与shell脚本编程大全,第3版818页pdf
专知会员服务
61+阅读 · 2020年12月30日
专知会员服务
75+阅读 · 2020年12月19日
【干货】用BRET进行多标签文本分类(附代码)
专知会员服务
84+阅读 · 2019年12月27日
计算机视觉最佳实践、代码示例和相关文档
专知会员服务
17+阅读 · 2019年10月9日
网络安全威胁情报相关汇总
计算机与网络安全
6+阅读 · 2019年8月9日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
网络安全监测预警和信息通报法规依据
计算机与网络安全
9+阅读 · 2019年6月22日
奔驰女车主同意和解,舆情分析全事件
THU数据派
10+阅读 · 2019年4月17日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
渗透测试之提权
计算机与网络安全
3+阅读 · 2019年3月11日
看我如何使用TheFatRat接管你的Android手机
FreeBuf
5+阅读 · 2018年11月24日
Tplmap - 扫描服务器端模板注入漏洞的开源工具
黑白之道
6+阅读 · 2018年9月11日
Arxiv
19+阅读 · 2021年4月8日
Fast AutoAugment
Arxiv
5+阅读 · 2019年5月1日
Arxiv
3+阅读 · 2018年9月12日
Arxiv
9+阅读 · 2018年5月24日
VIP会员
相关资讯
网络安全威胁情报相关汇总
计算机与网络安全
6+阅读 · 2019年8月9日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
网络安全监测预警和信息通报法规依据
计算机与网络安全
9+阅读 · 2019年6月22日
奔驰女车主同意和解,舆情分析全事件
THU数据派
10+阅读 · 2019年4月17日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
渗透测试之提权
计算机与网络安全
3+阅读 · 2019年3月11日
看我如何使用TheFatRat接管你的Android手机
FreeBuf
5+阅读 · 2018年11月24日
Tplmap - 扫描服务器端模板注入漏洞的开源工具
黑白之道
6+阅读 · 2018年9月11日
Top
微信扫码咨询专知VIP会员