VMware 多个高危漏洞(CVE-2021-21972,CVE-2021-21973,CVE-2021-21974)风险通告,腾讯御界支持检测

2021-02-24 10:06:58
VMware 官方发布公告,修复了ESXi和vSphere Client(HTML5)中的多个高危漏洞,攻击者利用漏洞可能导致远程代码执行或信息泄露,腾讯高级威胁检测系统(御界)已支持检测利用VM相关漏洞的攻击活动。

漏洞简介:

VMware ESXi和vSphere Client(HTML5)中的多个漏洞已秘密报告给VMware,有可用的更新程序来修复受影响的VMware产品中的这些漏洞。腾讯高级威胁检测系统(御界)已支持检测利用VM相关漏洞的攻击活动。

 

受影响的产品:

VMware ESXi

VMware vCenter Server(vCenter Server)

VMware Cloud Foundation(Cloud Foundation)

 

漏洞详情:

1.vSphere Client中的远程执行代码漏洞(CVE-2021-21972)

vSphere Client(HTML5)在vCenter Server插件中包含一个远程执行代码漏洞。VMware已评估此漏洞等级为高风险,CVSS 得分为9.8。

 

恶意攻击者可能会利用此问题在托管vCenter Server的操作系统上以不受限制的特权执行任意命令。

 

受影响的版本:

VMware vCenter Server 7.06.76.5

VMware Cloud Foundation(Cloud Foundation)4.X3.X

 

2.ESXi OpenSLP堆溢出漏洞(CVE-2021-21974)

ESXi中使用的OpenSLP存在堆溢出漏洞,VMware已评估此问题的严重性为“重要”级别,CVSS得分为8.8。

 

与ESXi处于同一网段中且可以访问端口427的攻击者可能会触发OpenSLP服务中的堆溢出问题,从而导致远程执行代码。

 

受影响的版本:

VMware ESXi 7.06.76.5

VMware Cloud Foundation(ESXi)4.X3.X

 

3.vSphere Client中的SSRF漏洞(CVE-2021-21973)

由于vCenter Server插件中URL的验证不正确,vSphere Client(HTML5)包含SSRF(服务器端请求伪造)漏洞。漏洞等级:中等,CVSS得分为5.3。

 

攻击者可以通过端口443访问网络向vCenter Server插件发送POST请求来导致信息泄露。

 

受影响的版本:

VMware vCenter Server 7.06.76.5

VMware Cloud Foundation(vCenter Server)4.X3.X

 

漏洞修复:

腾讯安全专家建议受影响的用户升级到最新版本。


腾讯高级威胁检测系统(御界)已于当日支持检测利用VM相关组件漏洞的攻击活动。

 

参考链接:

https://www.vmware.com/security/advisories/VMSA-2021-0002.html


时间线:

2021年2月23日,VM官方发布漏洞公告;

2021年2月24日,腾讯安全发布漏洞风险通告,并通过升级腾讯高级威胁检测系统规则库,支持检测利用VM相关高危漏洞的网络攻击活动。


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。


 

最新资讯