《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > CNNVD | 關(guān)于VMware vCenter Server多個安全漏洞的預(yù)警

CNNVD | 關(guān)于VMware vCenter Server多個安全漏洞的預(yù)警

2021-09-25
來源: 中國信息安全
關(guān)鍵詞: 安全漏洞 預(yù)警

  近日,,VMware 官方發(fā)布了多個安全漏洞公告,,包括VMware vCenterServer 授權(quán)問題漏洞(CNNVD-202109-1479、CVE-2021-22017),、VMware vCenterServer 權(quán)限許可和訪問控制問題漏洞(CNNVD-202109-1482,、CVE-2021-21991)等9個漏洞。VMware vCenterServer 6.5、VMware vCenterServer 6.7,、VMware vCenterServer 7.0版本均受漏洞影響。成功利用上述漏洞的攻擊者無需用戶交互及認(rèn)證即可實(shí)現(xiàn)遠(yuǎn)程代碼攻擊,,最終完全控制相關(guān)設(shè)備,。目前,VMware官方已經(jīng)發(fā)布漏洞修復(fù)補(bǔ)丁,,建議用戶及時確認(rèn)是否受到漏洞影響,,盡快采取修補(bǔ)措施。

  一,、漏洞介紹

  VMware vCenter Server是美國威睿(Vmware)公司的一套服務(wù)器和虛擬化管理軟件,。該軟件提供了一個用于管理VMware vSphere環(huán)境的集中式平臺,可自動實(shí)施和交付虛擬基礎(chǔ)架構(gòu),。

  1,、VMware vCenter Server 授權(quán)問題漏洞(CNNVD-202109-1479、CVE-2021-22017)

  VMware vCenter Server 存在授權(quán)問題漏洞,,該漏洞源于對URL規(guī)范化存在缺陷,。遠(yuǎn)程攻擊者可利用該漏洞發(fā)送一個特制的URL,繞過認(rèn)證并訪問內(nèi)部端點(diǎn),。

  2,、VMware vCenter Server 權(quán)限許可和訪問控制問題漏洞(CNNVD-202109-1482、CVE-2021-21991)

  VMware vCenter Server 存在權(quán)限許可和訪問控制問題漏洞,,該漏洞源于vCenter Server處理會話令牌的方式存在問題,。本地用戶可以通過vSphere Client(HTML5)或vCenter ServervSphere Web Client (FLEX Flash)將用戶權(quán)限升級為管理員權(quán)限。

  3,、VMware vCenter Server 安全漏洞(CNNVD-202109-1483,、CVE-2021-22015)

  VMware vCenter Server 存在安全漏洞,該漏洞源于系統(tǒng)設(shè)置的文件和文件夾默認(rèn)權(quán)限不正確,。本地用戶在vCenter Server一體機(jī)中可以將訪問權(quán)限提升為root權(quán)限,。

  4、VMware vCenter Server 代碼問題漏洞(CNNVD-202109-1484,、CVE-2021-21993)

  VMware vCenter Server 存在代碼問題漏洞,,該漏洞源于對用戶提供的輸入驗(yàn)證不足導(dǎo)致。遠(yuǎn)程用戶可以發(fā)送一個特別設(shè)計(jì)的HTTP請求,,進(jìn)而上傳文件,。

  5、VMware vCenter Server 代碼問題漏洞(CNNVD-202109-1486,、CVE-2021-22005)

  VMware vCenter Server 存在代碼問題漏洞,,該漏洞源于在Analytics服務(wù)中上傳文件時文件驗(yàn)證不足導(dǎo)致。未經(jīng)身份驗(yàn)證的攻擊者可以通過網(wǎng)絡(luò)訪問443端口,在目標(biāo)系統(tǒng)上傳和執(zhí)行任意文件,。

  6,、VMware vCenter Server 代碼注入漏洞(CNNVD-202109-1487、CVE-2021-22014)

  VMware vCenter Server 存在代碼注入漏洞,,該漏洞源于VAMI(虛擬設(shè)備管理基礎(chǔ)設(shè)施)中的輸入驗(yàn)證不正確,。通過身份驗(yàn)證的遠(yuǎn)程VAMI用戶可以向5480端口發(fā)送一個特別設(shè)計(jì)的請求,并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼,。

  7,、VMware vCenter Server 授權(quán)問題漏洞(CNNVD-202109-1489、CVE-2021-22006)

  VMware vCenter Server 存在授權(quán)問題漏洞,,利用該漏洞遠(yuǎn)程攻擊者可以在未經(jīng)授權(quán)的情況下訪問系統(tǒng),。

  8、VMware vCenter Server 授權(quán)問題漏洞(CNNVD-202109-1492,、CVE-2021-22011)

  VMware vCenter Server 存在授權(quán)問題漏洞,,該漏洞源于vCenter ServerContent Library中API端點(diǎn)缺少認(rèn)證。未經(jīng)身份驗(yàn)證的攻擊可以通過網(wǎng)絡(luò)訪問443端口,,利用漏洞獲得對系統(tǒng)的訪問權(quán)限,,并執(zhí)行虛擬機(jī)網(wǎng)絡(luò)設(shè)置操作。

  9,、VMware vCenter Server 授權(quán)問題漏洞(CNNVD-202109-1493,、CVE-2021-22012)

  VMware vCenter Server 存在授權(quán)問題漏洞,該漏洞源于缺少對設(shè)備管理API的身份驗(yàn)證,。遠(yuǎn)程未經(jīng)身份驗(yàn)證的攻擊者可利用該漏洞訪問443端口,,從而訪問系統(tǒng)上的敏感信息。

  二,、危害影響

  成功利用上述漏洞的攻擊者無需用戶交互及認(rèn)證即可實(shí)現(xiàn)遠(yuǎn)程代碼攻擊,,最終完全控制相關(guān)設(shè)備。VMware vCenterServer 6.5,、VMware vCenterServer 6.7,、VMware vCenterServer 7.0均受漏洞影響。具體影響范圍可訪問下列鏈接進(jìn)行查看:https://www.vmware.com/security/advisories/VMSA-2021-0020.html

  三,、修復(fù)建議

  目前,,VMware官方已經(jīng)發(fā)布漏洞修復(fù)補(bǔ)丁,建議用戶及時確認(rèn)是否受到漏洞影響,,采取修補(bǔ)措施,。官方鏈接如下:

  https://www.vmware.com/security/advisories/VMSA-2021-0020.html

  本通報由CNNVD技術(shù)支撐單位——杭州安恒信息技術(shù)股份有限公司、深信服科技股份有限公司,、北京華順信安科技有限公司,、北京華云安信息技術(shù)有限公司、數(shù)字觀星應(yīng)急響應(yīng)中心、上海斗象信息科技有限公司,、天翼數(shù)智科技(北京)有限公司,、銥迅安全應(yīng)急響應(yīng)中心、內(nèi)蒙古奧創(chuàng)科技有限公司,、新華三技術(shù)有限公司,、遠(yuǎn)江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司,。

  CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,,及時發(fā)布相關(guān)信息,。如有需要,,可與CNNVD聯(lián)系。聯(lián)系方式: [email protected]




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。