CVE-2021-21985

VMware vCenter Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

VMware vSphere Client contains an improper input validation vulnerability in the Virtual SAN Health Check plug-in, which is enabled by default in vCenter Server, which allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-21985) в плагине Virtual SAN Health Check vSphere Client позволяет удаленному злоумышленнику выполнить произвольный код на сервере vCenter Server. Для эксплуатации достаточно отправить специально сформированный HTTP-запрос на порт 443 (HTTPS) сервера vCenter, что не требует аутентификации.

Как исправить

Установите официальный патч от VMware. Требуемая версия зависит от вашей текущей версии vCenter Server:

  • Для vCenter Server 6.5: обновитесь до версии 6.5 U3p (сборка 6.5.0-20001289) или новее.
  • Для vCenter Server 6.7: обновитесь до версии 6.7 U3n (сборка 6.7.0-21000007) или новее.
  • Для vCenter Server 7.0: обновитесь до версии 7.0 U2b (сборка 7.0.2-00250000) или новее.

Процесс обновления (на примере VCSA 7.0): 1. Скачайте ISO-образ патча с портала VMware Customer Connect. 2. Смонтируйте образ на сервере vCenter (или загрузите его в хранилище данных). 3. Подключитесь к интерфейсу управления VCSA (https://<vcenter-ip>:5480). 4. Перейдите во вкладку Update. 5. Нажмите Check Updates, затем Upload updates from a file и укажите путь к файлу metadata.zip из смонтированного образа. 6. Запустите установку обновления и перезагрузите сервер после завершения.

Временное решение

Если немедленное обновление невозможно, отключите уязвимый плагин. Это можно сделать через командную строку на самом сервере vCenter.

  1. Подключитесь к серверу vCenter по SSH.
  2. Выполните команду для отключения плагина Virtual SAN Health Check:
/usr/lib/vmware-vmon/vmon-cli --stop com.vmware.vsan.health
/usr/lib/vmware-vmon/vmon-cli --update com.vmware.vsan.health --state disabled
  1. Убедитесь, что служба остановлена и отключена:
/usr/lib/vmware-vmon/vmon-cli --list | grep -A2 "com.vmware.vsan.health"

В выводе должно быть указано "state": "STOPPED" и "startupType": "DISABLED".

Важно: Это отключит функционал мониторинга здоровья vSAN. После установки патча верните плагин в рабочее состояние командой:

/usr/lib/vmware-vmon/vmon-cli --update com.vmware.vsan.health --state enabled
/usr/lib/vmware-vmon/vmon-cli --start com.vmware.vsan.health
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей