重大vCenter RCE漏洞已见扫描行动

本周VMware修补三项产品漏洞，包括vCenter RCE漏洞。企业最好立即修补，因为安全厂商观察到网络上已经出现扫描活动，可能是攻击前兆。

本周VMware修补的三项漏洞中，以Positive Technologies研究人员Mikhail Klyuchnikov通报的CVE-2021-21972最危险。这项漏洞出在vSphere Client (HTML5)于vCenter的外挂软件上，攻击者若具备port 443网络存取权限，即可向vCenter Server发送呼叫，进而在底层OS上写入webshell，以最高权限执行任意指令。vCenter是VMWare管理资料中心内所有实体及虚拟机器的统一管理软件。

CVE-2021-21972漏洞在CVSS 3.1风险评分表达到9.8分，属于重大风险漏洞，影响产品包括vCenter Server6.5、6.7、7.0.1，及混合云平台Cloud Foundation 3.x和 4.x版。VMware已经释出更新版本。

周四安全厂商Bad Packet表示，已侦测到网络上有针对未修补的vCenter服务器的大规模扫描活动。

早在VMware修补此一漏洞同时，Bleeping Computer报导，去年10月Positive Technologies就发现漏洞，但仅通报VMware，直到网络上已出现至少有2款概念验证攻击（Proof-of-Concept）攻击程式，促使他们提前公布。

ZDNet报导，一度有 6,700台vCenter服务器连上网络。透过Shodan搜索引擎扫描，目前也有900多台。

VMware本周修补的另外二项漏洞，分别是vCenter Server外挂vRealize Operations (vROps) 上的服务器端请求伪造（Server Side Request Forgery）漏洞CVE-2021-21973，以及虚拟化平台ESXi当中Open SLP服务的堆积缓冲溢位（heap-overflow）漏洞CVE-2021-21974，风险层级各为5.3及8.8。