VMware 周二发布了一份新的安全警告,称其产品 vCenter Server 和 Cloud Foundation 设备中存在多达 19 个安全漏洞,远程攻击者可以利用这些漏洞来控制受影响的系统。
根据网络安全行业门户极牛网GEEKNB.COM的梳理,其中最紧迫的是分析服务中的任意文件上传漏洞 (CVE-2021-22005),它影响了 vCenter Server 6.7 和 7.0 部署。VMware 指出,通过网络访问 vCenter Server 上的443端口的恶意行为者可能会利用此问题通过上传特制文件在 vCenter Server 上执行代码,任何可以访问 vCenter Server 的人都可以利用此漏洞。无论 vCenter Server 的配置设置如何,都可以访问并攻击。
VMware 修补的完整漏洞列表如下:
- CVE-2021-22005(CVSS 评分:9.8)——vCenter Server 文件上传漏洞
- CVE-2021-21991(CVSS 评分:8.8)——vCenter Server 本地提权漏洞
- CVE-2021-22006(CVSS 评分:8.3)——vCenter Server 反向代理绕过漏洞
- CVE-2021-22011(CVSS 评分:8.1)——vCenter 服务器未经身份验证的 API 端点漏洞
- CVE-2021-22015(CVSS 评分:7.8)——vCenter Server 权限不当本地提权漏洞
- CVE-2021-22012(CVSS 评分:7.5)——vCenter Server 未经身份验证的 API 信息泄露漏洞
- CVE-2021-22013(CVSS 评分:7.5)——vCenter Server 文件路径遍历漏洞
- CVE-2021-22016(CVSS 评分:7.5)——vCenter Server 反映了 XSS 漏洞
- CVE-2021-22017(CVSS 评分:7.3)——vCenter Server rhttpproxy 绕过漏洞
- CVE-2021-22014(CVSS 评分:7.2)——vCenter Server 身份验证代码执行漏洞
- CVE-2021-22018(CVSS 评分:6.5)——vCenter Server 文件删除漏洞
- CVE-2021-21992(CVSS 评分:6.5)——vCenter Server XML 解析拒绝服务漏洞
- CVE-2021-22007(CVSS 评分:5.5)——vCenter Server 本地信息泄露漏洞
- CVE-2021-22019(CVSS 评分:5.3)——vCenter Server 拒绝服务漏洞
- CVE-2021-22009(CVSS 评分:5.3)——vCenter Server VAPI 多重拒绝服务漏洞
- CVE-2021-22010(CVSS 评分:5.3)——vCenter Server VPXD 拒绝服务漏洞
- CVE-2021-22008(CVSS 评分:5.3)——vCenter Server 信息泄露漏洞
- CVE-2021-22020(CVSS 评分:5.0)——vCenter Server Analytics 服务拒绝服务漏洞
- CVE-2021-21993(CVSS 评分:4.3)——vCenter Server SSRF 漏洞
通报大部分漏洞的是 SolidLab LLC 的 George Noseevich 和 Sergey Gerasimov,以及施耐德电气的 Hynek Petrak、Pentera 的 Yuval Lazar 和 Malcrove 的 Osama Alaa。
根据网络安全行业门户极牛网GEEKNB.COM的梳理, CVE-2021-22005 的影响很严重,这个漏洞的利用可能发生在漏洞披露后的几分钟,目前最重要的是争取最快的时间内更新VMware vcenter系统。
随着勒索软件的威胁迫在眉睫,最安全的做法是假设攻击者可能已经通过使用网络钓鱼或鱼叉式网络钓鱼等技术控制了桌面和用户帐户,并采取了相应的行动。这意味着攻击者可能已经能够从企业防火墙内部访问 vCenter Server,所有VMware用户必须重视起来,尽快升级系统。
极牛网精选文章《VMware vCenter 爆出19个重大漏洞,可远程执行任意代码》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16388.html