CVE-2021-21975

VMware vRealize Operations Manager API

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-18

Официальное описание

Server Side Request Forgery (SSRF) in vRealize Operations Manager API prior to 8.4 may allow a malicious actor with network access to the vRealize Operations Manager API to perform a SSRF attack to steal administrative credentials.

🛡️
Технический анализ и план устранения

Суть уязвимости

Злоумышленник с доступом к сети, где находится vRealize Operations Manager API, может отправить специально сформированный HTTP-запрос к уязвимому эндпоинту API. Это позволяет выполнить атаку типа Server-Side Request Forgery (SSRF), при которой серверное приложение вынуждают сделать произвольный HTTP-запрос к внутренним системам. В данном случае целью является хищение учетных данных администратора.

Как исправить

Установите обновление, устраняющее уязвимость. Уязвимость устранена в версии 8.4 и выше.

  1. Определите текущую версию vRealize Operations Manager. bash # Войдите в интерфейс администратора vRealize Operations Manager # Текущая версия отображается на главной панели или в разделе "Администрирование" -> "Обновления"

  2. Загрузите и установите патч.

    • Для версий 8.0.x – 8.3.x необходимо обновиться до 8.4 или новее.
    • Скачайте обновление (патч) с официального портала VMware: VMware Customer Connect.
    • Установите обновление через встроенный менеджер обновлений в веб-интерфейсе администратора (https://<ваш-vROps-сервер>/admin).

    Конкретные исправленные версии: * vRealize Operations Manager 8.6.0 * vRealize Operations Manager 8.5.0 * vRealize Operations Manager 8.4.0 * vRealize Operations Manager 8.3.1 * vRealize Operations Manager 8.2.2 * vRealize Operations Manager 8.1.3 * vRealize Operations Manager 8.0.4

Временное решение

Если немедленная установка обновления невозможна, выполните следующие шаги для снижения риска:

  1. Ограничьте сетевой доступ. Настройте правила межсетевого экрана (firewall), чтобы разрешить доступ к портам vRealize Operations Manager API (по умолчанию 443/TCP) только с доверенных IP-адресов (например, сетей администраторов и необходимых систем мониторинга).

  2. Настройте WAF (Web Application Firewall). Если используется WAF, активируйте и настройте правила для блокировки атак типа SSRF. Пример правил:

    • Блокировка запросов, содержащих внутренние IP-адреса (например, 127.0.0.1, 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12) или доменные имена (например, localhost) в параметрах URL или телах запросов к уязвимым путям API.
    • Блокировка запросов к нестандартным портам.

  3. Изолируйте сегмент сети. Разместите vRealize Operations Manager в отдельном, строго контролируемом сегменте сети (VLAN), чтобы минимизировать количество систем, которые могут быть атакованы в случае компрометации.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей