CVE-2020-3952
VMware vCenter Server
2021-11-03
VMware vCenter Server contains an information disclosure vulnerability in the VMware Directory Service (vmdir) when the Platform Services Controller (PSC) does not correctly implement access controls. Successful exploitation allows an attacker with network access to port 389 to extract sensitive information.
Технический анализ и план устранения
Суть уязвимости
Злоумышленник с доступом к сети, где находится vCenter Server, может подключиться к порту 389 (LDAP) службы VMware Directory Service (vmdir). Из-за некорректных проверок прав доступа в Platform Services Controller (PSC), атакующий может выполнять неавторизованные LDAP-запросы и извлекать конфиденциальную информацию, например, хэши паролей пользователей.
Как исправить
Установите официальный патч от VMware. Требуемая версия зависит от вашей текущей версии vCenter Server:
- Для vCenter Server 6.7 U3 и ранее: Обновитесь до vCenter Server 6.7 U3b.
- Для vCenter Server 6.5 U3 и ранее: Обновитесь до vCenter Server 6.5 U3e.
- Для vCenter Server 6.0 и ранее: Версия 6.0 не поддерживает исправление. Необходимо выполнить миграцию на поддерживаемую версию.
Процесс обновления (VCSA): 1. Скачайте соответствующий патч (ISO-образ) с портала VMware Customer Connect. 2. Смонтируйте образ на сервере vCenter Server Appliance (VCSA). 3. Запустите обновление через командную строку или интерфейс управления VCSA.
# Пример запуска установки обновления через CLI VCSA
# Подключитесь к VCSA по SSH и выполните команду
software-packages install --url /path/to/mounted/iso/metadata.zip
Временное решение
Если немедленное обновление невозможно, ограничьте доступ к уязвимому сервису.
- Ограничьте сетевой доступ к порту 389 (LDAP) vmdir. Настройте правила брандмауэра (на сетевом оборудовании или на хосте vCenter), чтобы разрешать подключения к порту 389/TCP только с доверенных IP-адресов, необходимых для работы (например, с других узлов vSphere).
bash # Пример для firewalld (CentOS/RHEL) на хосте, если vCenter развернут на ОС. # ВАЖНО: Настройте правила в соответствии с вашей сетевой архитектурой. sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="389" accept' sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.10.10.5" port protocol="tcp" port="389" accept' sudo firewall-cmd --reload - Используйте сегментацию сети. Поместите vCenter Server в отдельный, строго контролируемый сегмент сети (VLAN), недоступный для пользователей и недоверенных систем.
- Рассмотрите использование VPN. Обеспечьте доступ к интерфейсу управления vCenter только через защищенное VPN-соединение.