CNNVD 关于VMware vCenter Server多个安全漏洞的预警 - 网安 - 专业的网络安全产业、社区、知识平台

近日，VMware 官方发布了多个安全漏洞公告，包括VMware vCenterServer 授权问题漏洞(CNNVD-202109-1479、CVE-2021-22017)、VMware vCenterServer 权限许可和访问控制问题漏洞(CNNVD-202109-1482、CVE-2021-21991)等9个漏洞。VMware vCenterServer 6.5、VMware vCenterServer 6.7、VMware vCenterServer 7.0版本均受漏洞影响。成功利用上述漏洞的攻击者无需用户交互及认证即可实现远程代码攻击，最终完全控制相关设备。目前，VMware官方已经发布漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。

1、VMware vCenter Server 授权问题漏洞(CNNVD-202109-1479、CVE-2021-22017)

VMware vCenter Server 存在授权问题漏洞，该漏洞源于对URL规范化存在缺陷。远程攻击者可利用该漏洞发送一个特制的URL，绕过认证并访问内部端点。

2、VMware vCenter Server 权限许可和访问控制问题漏洞(CNNVD-202109-1482、CVE-2021-21991)

VMware vCenter Server 存在权限许可和访问控制问题漏洞，该漏洞源于vCenter Server处理会话令牌的方式存在问题。本地用户可以通过vSphere Client(HTML5)或vCenter ServervSphere Web Client (FLEX Flash)将用户权限升级为管理员权限。

3、VMware vCenter Server 安全漏洞(CNNVD-202109-1483、CVE-2021-22015)

VMware vCenter Server 存在安全漏洞，该漏洞源于系统设置的文件和文件夹默认权限不正确。本地用户在vCenter Server一体机中可以将访问权限提升为root权限。

4、VMware vCenter Server 代码问题漏洞(CNNVD-202109-1484、CVE-2021-21993)

VMware vCenter Server 存在代码问题漏洞，该漏洞源于对用户提供的输入验证不足导致。远程用户可以发送一个特别设计的HTTP请求，进而上传文件。

5、VMware vCenter Server 代码问题漏洞(CNNVD-202109-1486、CVE-2021-22005)

VMware vCenter Server 存在代码问题漏洞，该漏洞源于在Analytics服务中上传文件时文件验证不足导致。未经身份验证的攻击者可以通过网络访问443端口，在目标系统上传和执行任意文件。

6、VMware vCenter Server 代码注入漏洞(CNNVD-202109-1487、CVE-2021-22014)

VMware vCenter Server 存在代码注入漏洞，该漏洞源于VAMI(虚拟设备管理基础设施)中的输入验证不正确。通过身份验证的远程VAMI用户可以向5480端口发送一个特别设计的请求，并在目标系统上执行任意代码。

7、VMware vCenter Server 授权问题漏洞(CNNVD-202109-1489、CVE-2021-22006)

VMware vCenter Server 存在授权问题漏洞，利用该漏洞远程攻击者可以在未经授权的情况下访问系统。

8、VMware vCenter Server 授权问题漏洞(CNNVD-202109-1492、CVE-2021-22011)

VMware vCenter Server 存在授权问题漏洞，该漏洞源于vCenter ServerContent Library中API端点缺少认证。未经身份验证的攻击可以通过网络访问443端口，利用漏洞获得对系统的访问权限，并执行虚拟机网络设置操作。

9、VMware vCenter Server 授权问题漏洞(CNNVD-202109-1493、CVE-2021-22012)

VMware vCenter Server 存在授权问题漏洞，该漏洞源于缺少对设备管理API的身份验证。远程未经身份验证的攻击者可利用该漏洞访问443端口，从而访问系统上的敏感信息。

二、危害影响

成功利用上述漏洞的攻击者无需用户交互及认证即可实现远程代码攻击，最终完全控制相关设备。VMware vCenterServer 6.5、VMware vCenterServer 6.7、VMware vCenterServer 7.0均受漏洞影响。具体影响范围可访问下列链接进行查看：https://www.vmware.com/security/advisories/VMSA-2021-0020.html

三、修复建议

目前，VMware官方已经发布漏洞修复补丁，建议用户及时确认是否受到漏洞影响，采取修补措施。官方链接如下：

https://www.vmware.com/security/advisories/VMSA-2021-0020.html

本通报由CNNVD技术支撑单位——杭州安恒信息技术股份有限公司、深信服科技股份有限公司、北京华顺信安科技有限公司、北京华云安信息技术有限公司、数字观星应急响应中心、上海斗象信息科技有限公司、天翼数智科技（北京）有限公司、铱迅安全应急响应中心、内蒙古奥创科技有限公司、新华三技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、北京天融信网络安全技术有限公司。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn