به طور کلی در کشور بیش از ۲۰۰۰ IP آدرس وجود دارد که نسبت به یک نقص امنیتی خطرناک در Client vSphere آسیبپذیر هستند. با توجه اینکه در حال حاضر مهاجمان در حال پویش گسترده برای یافتن سیستمهای آسیبپذیر و حمله به آنها میباشند
(در حال حاضر بهرهبرداری از این آسیبپذیری توسط برخی باجافزارها مشاهده شده است) و اینکه اغلب نسخههای نصب شده در ایران کرک بوده و امکان وصله شدن سریع وجود ندارد؛
لذا پیشنهاد میشود هر پورت ۴۴۳ برای IPهای آسیبپذیر مسدود شود. همچنین جداسازی رابطهای vCenter Server از محیط سازمان و قرار دادن آنها در یک VLAN جداگانه با دسترسی محدود در شبکه داخلی، نیز پیشنهاد میشود.
در جدول زیر آسیبپذیریهای محصولات VMware و نسخه وصله شده در این بهروزرسانی آورده شده است.
نام محصول نوع آسیب پذیری شدت آسیب پذیری شناسه آسیب پذیری نسخه وصله شده | ||||
vCenter server
|
اجرای کد از راه دور | 9.8 |
CVE_2021_21972 |
7.0 U1c _ 6.7 U31_6.5 U3n |
EsXi
|
اجرای کد از راه دور | 8.8 |
CVE_2021_21974 |
EsXi70U1c_17325551
EsXi670_202102401_SG EsXi650_202102101_SG |
vCenter server | SSRF | 5.3 |
CVE_2021_21973 |
7.0 U1c _ 6.7 U31_6.5 U3n |
برای وصله کردن آسیبپذیری مربوط به محصول ESXi و با توجه به اینکه آسیبپذیری مربوط به پروتکل OpenSLP است، VMware پیشنهاد میکند که در صورت عدم استفاده از OpenSLP نسبت به غیرفعال کردن آن از طریق راهنمای زیر اقدام کنید (لازم به ذکر است که با این کار کلاینتهای CIM که از پروتکل SLP برای یافتن سرورهای CIM از طریق پورت 427 استفاده میکنند، امکان یافتن سرورها را نخواهند داشت):
https://kb.vmware.com/s/article/76372
همان طور که پیشتر گفته شد شرکت VMware از وجود یک آسیبپذیری بحرانی از نوع اجرای کد از راه دور در پلتفرم مدیریت زیرساخت مجازی سرور vCenter خبر داده است که به مهاجمان امکان میدهد سیستمهای آسیبپذیر را تحت کنترل خود گیرند. این آسیبپذیری به طور دقیقتر مربوط به vSphere Client (HTML5) و در افزونهی vCenter Server وجود دارد. سرور vCenter به مدیران IT کمک میکند تا هاستها و ماشینهای مجازی شده را در محیطهای تجاری از طریق یک کنسول واحد مدیریت کنند. این آسیبپذیری با شناسه CVE-2021-21972 بحرانی بوده و دارای شدت 9.8 میباشد. لازم به ذکر است که افزونهی vCenter Server بهطور پیشفرض در vRealize Operations (vROps) نصب میباشد.