CVE-2021-21972

Суть уязвимости

Уязвимость (CVE-2021-21972) в плагине vSAN Health Check компонента vSphere Client (HTML5) VMware vCenter Server. Злоумышленник, имеющий доступ к сети, может отправить специально созданный HTTP-запрос на порт 443 vCenter Server, что приведет к выполнению произвольных команд с максимальными привилегиями (root) на базовой ОС сервера.

Как исправить

Установите официальный патч от VMware. Обновите vCenter Server до одной из исправленных версий:

• Для vCenter Server 7.0: до версии 7.0 U1c или выше.
• Для vCenter Server 6.7: до версии 6.7 U3l или выше.
• Для vCenter Server 6.5: до версии 6.5 U3n или выше.

Порядок действий: 1. Скачайте соответствующий патч (ISO-образ) с портала VMware Customer Connect. 2. Создайте резервную копию (снапшот) виртуальной машины vCenter Server. 3. Смонтируйте ISO-образ к виртуальной машине vCenter через интерфейс гипервизора (vSphere Client). 4. Подключитесь к интерфейсу управления vCenter Server (VAMI) по адресу https://<vcenter_ip>:5480. 5. Перейдите на вкладку Update и выберите метод Check Updates -> CD-ROM. 6. Запустите процесс установки обновления. После завершения сервер будет перезагружен.

Временное решение

Если немедленное обновление невозможно, отключите уязвимый плагин vSAN Health Check.

1. Подключитесь по SSH к серверу vCenter Server (требуются права root).
2. Выполните команду для отключения плагина:

/usr/lib/vmware-vmon/vmon-cli --stop rhttpproxy
/usr/lib/vmware-vmon/vmon-cli --stop vsphere-ui
chmod 000 /usr/lib/vmware-vsphere-ui/server/packages/vsan-health/ -R
/usr/lib/vmware-vmon/vmon-cli --start vsphere-ui
/usr/lib/vmware-vmon/vmon-cli --start rhttpproxy

1. Для возврата к штатной работе (после установки патча) выполните:

chmod 755 /usr/lib/vmware-vsphere-ui/server/packages/vsan-health/ -R

Важно: Это отключит функционал мониторинга состояния vSAN в клиенте vSphere.