漏洞预警-VMware 多个高危漏洞

基本信息

• 风险等级： 高危

• 漏洞类型： 缓冲区溢出,远程代码执行,服务器端请求伪造

• 漏洞利用： 暂无

• 漏洞编号：CVE-2021-21972,CVE-2021-21973,CVE-2021-21974

漏洞描述

近日，监测到VMware官方发布了多个高危漏洞的通告，漏洞编号CVE-2021-21972为vSphere Client 远程执行代码漏洞，漏洞编号CVE-2021-21973为vSphere Client SSRF漏洞，漏洞编号CVE-2021-21974为ESXi OpenSLP 堆溢出漏洞。

影响版本

• VMware vCenter Server 7.0，6.7，6.5，VMware Cloud Foundation（Cloud Foundation）4.X，3.X
• VMware vCenter Server 7.0，6.7，6.5，VMware Cloud Foundation（vCenter Server）4.X，3.X
• VMware ESXi 7.0，6.7，6.5，VMware Cloud Foundation（ESXi）4.X，3.X

安全版本

• VMware vCenter Server 7.0 U1c，6.7 U3l，6.5 U3n，VMware Cloud Foundation 4.2，3.10.1.2
• VMware vCenter Server 7.0 U1c，6.7 U3l，6.5 U3n，VMware Cloud Foundation 4.2，3.10.1.2
• VMware ESXi ESXi70U1c-17325551，ESXi670-202102401-SG，ESXi650-202102101-SG，VMware Cloud Foundation 4.2

VMware ESXi（VMware vSphere）是一套可直接安装在物理服务器上的服务器虚拟化平台，VMware vCenter 服务器是一种高级服务器管理软件，提供一个用于控制 VMware vSphere 环境的集中式平台，帮助用户获取集中式可见性、简单高效的规模化管理，从而在整个混合云中自动部署和交付虚拟基础架构。

影响范围

VMware ESXi,VMware vCenter Server,VMware Cloud Foundation

解决方案

临时修复建议

如果目前无法升级，若业务环境允许，使用白名单限制web界面的访问来降低风险同时可按照如下操作进行临时修复：

1. 针对CVE-2021-21972SSH远连到vCSA（或远程桌面连接到Windows VC）
2. 备份以下文件：

Linux系文件路径为：/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)

Windows文件路径为：C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui (Windows VC)

使用文本编辑器将文件内容修改为：

使用vmon-cli -r vsphere-ui命令重启vsphere-ui服务 5. 访问https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister，显示404错误

在vSphere Client的Solutions->Client Plugins中VMWare vROPS插件显示为incompatible

1. 针对CVE-2021-21974使用/etc/init.d/slpd stop命令在ESXI主机上停止SLP服务（仅当不使用SLP服务时，才可以停止该服务。可以使用esxcli system slp stats get命令查看服务守护程序运行状态）

2. 使用esxcli network firewall ruleset set -r CIMSLP -e 0命令禁用SLP服务

3. 使用chkconfig slpd off命令保证此更改在重启后持续存在 4. 利用chkconfig --list | grep slpd命令检查是否在重启后更改成功，若回显为slpd off则证明成功

通用修复建议

将相关产品升级到安全版本。

本作品采用《CC 协议》，转载必须注明作者和本文链接