CVE-2020-3992

Суть уязвимости

Уязвимость (CVE-2020-3992) — это уязвимость типа «использование после освобождения» (use-after-free) в службе OpenSLP в VMware ESXi. Злоумышленник, находящийся в той же сети управления, что и ESXi-хост, может отправить специально сформированный пакет на порт 427 (SLP) и выполнить произвольный код на целевом хосте. Это может привести к полному компрометированию системы.

Как исправить

Установите официальный патч от VMware. Обновите ESXi до одной из следующих исправленных версий: * ESXi 7.0: ESXi70U1b-17168206 или новее. * ESXi 6.7: ESXi670-202010401-SG или новее. * ESXi 6.5: ESXi650-202010401-SG или новее.

Процесс обновления (через CLI): 1. Поместите файл патча (например, ESXi670-202010401-SG.zip) на хранилище данных, доступное хосту. 2. Переведите хост в режим обслуживания через vCenter или командой: bash esxcli system maintenanceMode set -e true 3. Установите патч, указав путь к нему: bash esxcli software vib update -d /vmfs/volumes/<DATASTORE_NAME>/ESXi670-202010401-SG.zip 4. Перезагрузите хост: bash reboot 5. После загрузки выведите хост из режима обслуживания: bash esxcli system maintenanceMode set -e false

Временное решение

Если немедленная установка патча невозможна, заблокируйте доступ к уязвимой службе.

1. Остановите и отключите службу OpenSLP:

/etc/init.d/slpd stop
chkconfig slpd off

2. Заблокируйте входящие соединения на порт 427 (TCP/UDP) на брандмауэре ESXi:

esxcli network firewall ruleset set -r CIMSLP -e false
esxcli network firewall refresh

3. На сетевом оборудовании (маршрутизаторах, фаерволе) настройте правила безопасности, запрещающие входящий трафик на порт 427 (TCP/UDP) к вашим хостам ESXi из любых недоверенных сетей, особенно из сети управления.