情境示意圖

VMware vCenter上周傳出網路上已有漏洞開採活動,儘管安全公司及美國政府呼籲企業修補,不過網路上仍然有大量VMware主機曝險。

VMware上個月底修補CVE-2021-21985及CVE-2021-21986,其中CVE-2021-21985為9.8風險層級的遠端程式碼執行漏洞,出在預設開啟的vSphere用戶端軟體(Virtual SAN Check外掛程式)上,成功開採可能造成攻擊者取得受害主機控制權。安全廠商Bad Packet就發現其一臺搭載VMware伺服器管理軟體vCenter的誘捕系統偵測到CVE-2021-21985的開採活動,活動來源是分別代管於香港、中國、新加坡及德國IP多臺伺服器上的概念驗證程式。

Singtel旗下安全公司TrustWave近日則以Shodan搜尋引擎搜尋,網路上還有多少未修補漏洞的vCenter Server。

根據Shodan搜尋結果顯示,還有5,271臺直接連上網際網路,分析資料顯示,大部份的vCenter主機跑的是受到2個漏洞影響的版本,包括6.7.0、6.5.0和7.0.x。其他數據顯示,連線最多的傳輸埠是443,達5,076臺,可能是SSL/TLS連線。

目前網路上已經出現至少4個針對CVE-2021-21985的概念驗證程式。

美國網路安全及基礎架構安全署也警告未修補的產品可能曝險,呼籲用戶儘速升級到最新版本軟體。若無法立即修補,研究人員也提供了暫時緩解方法,在compatibility-matrix.xml檔中的「pluginsCompatibility」下輸入指令,目的在關閉受2項漏洞影響的外掛程式。

 參考資料(如需詳細資訊請洽廠商)

影響VMware vCenter Server (vCenter Server)、VMware Cloud Foundation (Cloud Foundation)的CVE-2021-21985, CVE-2021-21986官方修補資訊(2021-05-25公告):https://www.vmware.com/security/advisories/VMSA-2021-0010.htmlhttps://blogs.vmware.com/vsphere/2021/05/vmsa-2021-0010.html


熱門新聞

Advertisement