VMware多个高危漏洞通告

0x01事件简述

2021年02月24日，360CERT监测发现VMware发布了Vcenter Server、ESXI的风险通告，事件等级：严重，事件评分：9.8。 VMware更新了ESXI和vSphere Client(HTML5)中的两个高危漏洞，具有网络端口访问权限的恶意攻击者可以通过漏洞执行任意代码。对此，360CERT建议广大用户及时将Vcenter Server与ESXI产品升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02风险等级

360CERT对该事件的评定结果如下

评定方式	等级
威胁等级	严重
影响面	广泛
360CERT评分	9.8

0x03漏洞详情

CVE-2021-21972: 代码执行漏洞具有443端口访问权限的恶意攻击者可以通过向vCenter Server发送精心构造的请求，最终造成远程任意代码执行。 CVE-2021-21974: 堆溢出漏洞与ESXI处于同一网段且可以访问427端口的恶意攻击者可以构造恶意请求包触发OpenSLP服务中的堆溢出漏洞，最终造成远程代码执行。

0x04影响版本

–vmware:esxi: 7.0/6.7/6.5 –vmware:vcenter_server: 7.0/6.7/6.5

0x05修复建议

通用修补建议 CVE-2021-21972： –vCenter Server7.0版本升级到7.0.U1c –vCenter Server6.7版本升级到6.7.U3l –vCenter Server6.5版本升级到6.5 U3n CVE-2021-21974： –ESXi7.0版本升级到ESXi70U1c-17325551 –ESXi6.7版本升级到ESXi670-202102401-SG –ESXi6.5版本升级到ESXi650-202102101-SG 临时修补建议 CVE-2021-21972 1. SSH远连到vCSA（或远程桌面连接到Windows VC） 2. 备份以下文件： – Linux系文件路径为：/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA) – Windows文件路径为：C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui (Windows VC) 3. 使用文本编辑器将文件内容修改为：

4. 使用vmon-cli -r vsphere-ui命令重启vsphere-ui服务 5. 访问https:///ui/vropspluginui/rest/services/checkmobregister，显示404错误

6. 在vSphere Client的Solutions->Client Plugins中VMWare vROPS插件显示为incompatible

CVE-2021-21974 1. 使用/etc/init.d/slpd stop命令在ESXI主机上停止SLP服务（仅当不使用SLP服务时，才可以停止该服务。可以使用esxcli system slp stats get命令查看服务守护程序运行状态） 2. 使用esxcli network firewall ruleset set -r CIMSLP -e 0命令禁用SLP服务 3. 使用chkconfig slpd off命令保证此更改在重启后持续存在 4. 利用chkconfig --list | grep slpd命令检查是否在重启后更改成功，若回显为slpd off则证明成功