CVE-2021-21973

VMware vCenter Server and Cloud Foundation

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-07

Официальное описание

VMware vCenter Server and Cloud Foundation Server contain a SSRF vulnerability due to improper validation of URLs in a vCenter Server plugin. This allows for information disclosure.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник, имеющий доступ к порту 443 vCenter Server, может отправить специально сформированный HTTP-запрос. Из-за недостаточной проверки URL в плагине vSAN Health Check, сервер может выполнить несанкционированные HTTP-запросы к внутренним службам. Это приводит к утечке информации из внутренней сети, которая обычно недоступна извне (Server-Side Request Forgery, SSRF).

Как исправить

Установите официальный патч от VMware, соответствующий вашей версии vCenter Server или Cloud Foundation.

  1. Определите текущую версию vCenter Server. bash # Войдите в интерфейс командной строки VCSA (Bash) cat /etc/vmware-vpx/version

  2. Установите обновление, руководствуясь официальной документацией VMware KB 83829.

    • Для vCenter Server 7.0: обновитесь до версии 7.0 U2c или новее.
    • Для vCenter Server 6.7: обновитесь до версии 6.7 U3n или новее.
    • Для vCenter Server 6.5: обновитесь до версии 6.5 U3p или новее.
    • Для VMware Cloud Foundation (vCF): обновите vCenter Server в составе vCF до одной из указанных выше версий.

    Процесс обновления зависит от формы поставки (VCSA или Windows). Следуйте официальному руководству: VMware vCenter Server Update Planner.

Временное решение

Если немедленная установка патча невозможна, ограничьте доступ к уязвимому компоненту.

  1. Ограничьте сетевой доступ к vCenter Server.

    • Настройте группу безопасности/брандмауэр так, чтобы доступ к порту 443/TCP vCenter Server был разрешен только с доверенных IP-адресов (например, с рабочих станций администраторов, систем мониторинга).
    • Заблокируйте все входящие подключения к порту 443 из интернета и непроверенных сегментов сети.

  2. Отключите плагин vSAN Health Check (менее предпочтительный способ, может повлиять на функциональность). bash # Подключитесь к VCSA по SSH и выполните: # 1. Перейдите в каталог скриптов cd /usr/lib/vmware-vsphere-ui/plugin-packages/vsphere-client-serenity/ # 2. Найдите и переименуйте каталог плагина vSAN Health find . -type d -name "*vsan*" -exec mv {} {}.bak \; # 3. Перезапустите службу vSphere UI service-control --stop vsphere-ui && service-control --start vsphere-ui Важно: Это временная мера. Восстановите плагин после установки патча, переименовав каталог обратно (удалив .bak) и перезапустив службу.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей