VMware vCenter Server远程代码执行漏洞(CVE-2021-21985)

发布时间 2021-05-26

0x00 漏洞概述

CVE  ID

CVE-2021-21985

时   间

2021-05-26

类   型

RCE

等   级

严重

远程利用

影响范围


PoC/EXP

未公开

在野利用


0x01
漏洞详情

image.png

 

vCenter Server是VMware公司的一种服务器管理解决方案,可帮助IT管理员通过单个控制台管理企业环境中的虚拟机和虚拟化主机。

2021年05月25日,VMware发布了vCenter Server安全更新,修复了vSphere Client中的一个远程代码执行漏洞(CVE-2021-21985)和一个身份验证漏洞(CVE-2021-21986),其CVSSv3基本得分分别为9.8和6.5。

vCenter Server远程代码执行漏洞(CVE-2021-21985)

该漏洞存在于vSphere Client(HTML5)中,由于vCenter Server中默认启用的Virtual SAN Health Check插件缺乏输入验证,拥有443端口网络访问权限的攻击者可以利用此漏洞在承载vCenter Server的操作系统上远程执行任意命令。

需要注意的是,Virtual SAN Health Check插件在所有vCenter Server中都默认启用,任何能够通过网络访问vCenter Server的未经身份验证的攻击者都可以利用这个漏洞,而无论是否使用vSAN,并且该漏洞无需用户交互即可远程利用。

 

vCenter Server身份验证漏洞(CVE-2021-21986)

该漏洞存在于vSphere Client (HTML5)的Virtual SAN Health Check、Site Recovery、vSphere Lifecycle Manager和VMware Cloud Director Availability插件的vSphere认证机制中,具有 vCenter Server 上的 443 端口网络访问权限的攻击者可以利用此漏洞执行受影响插件所允许的操作,而无需进行身份验证。

 

影响范围

vCenter Server 7.0

vCenter Server 6.7

vCenter Server 6.5

Cloud Foundation (vCenter Server) 4.x

Cloud Foundation (vCenter Server) 3.x

 

0x02 处置建议

目前VMware已经修复了这些漏洞,建议尽快升级到以下修复版本或及时应用缓解措施:

vCenter Server 7.0 U2b

vCenter Server 6.7 U3n

vCenter Server 6.5 U3p

Cloud Foundation (vCenter Server) 4.2.1

Cloud Foundation (vCenter Server) 3.10.2.1

 

下载链接:

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

 

0x03 参考链接

https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u2b-release-notes.html

https://kb.vmware.com/s/article/83829

https://core.vmware.com/resource/vmsa-2021-0010-faq

https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-bug-affecting-all-vcenter-server-installs/

 

0x04 时间线

2021-05-25  VMware发布安全公告

2021-05-26  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png