CVE-2021-22005

VMware vCenter Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

VMware vCenter Server contains a file upload vulnerability in the Analytics service that allows a user with network access to port 443 to execute code.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-22005) — это критическая уязвимость типа Arbitrary File Upload в службе Analytics (CEIP) VMware vCenter Server. Злоумышленник, имеющий доступ к порту 443 (HTTPS) vCenter Server, может загрузить вредоносный файл и выполнить произвольный код с привилегиями службы. Это позволяет получить полный контроль над сервером vCenter.

Как исправить

Установите официальный патч от VMware. Обновление зависит от вашей текущей версии vCenter Server.

  1. Определите текущую версию vCenter Server. Это можно сделать через веб-интерфейс vSphere Client (в разделе "О программе") или через командную строку Appliance: bash cat /etc/vmware-release

  2. Обновитесь до исправленной версии, соответствующей вашему основному релизу:

    • vCenter Server 7.0: Обновитесь до версии 7.0 U2c или новее (например, 7.0 U3).
    • vCenter Server 6.7: Обновитесь до версии 6.7 U3o или новее.
    • vCenter Server 6.5: Обновитесь до версии 6.5 U3q или новее.

    Для vCenter Server Appliance (VCSA) используйте интерфейс командной строки: ```bash

    Проверьте доступные обновления

    software-packages list --available

    Установите последнее обновление (например, для 7.0 U2c)

    software-packages install --staged --acceptEulas --iso /path/to/update-iso/VMware-vCenter-Server-Appliance-7.0.2.00300-19234578-patch-FP.iso

    Примените установленное обновление

    software-packages stage --install software-packages install --committed ```

    Важно: Полный ISO-образ патча и инструкции по обновлению всегда доступны в KB статье VMware (82167). Перед обновлением создайте резервную копию снапшота ВМ.

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

  1. Ограничьте сетевой доступ. Настройте правила брандмауэра (на сетевом оборудовании или на хосте vCenter), чтобы разрешить входящие подключения к порту 443 (HTTPS) vCenter только с доверенных IP-адресов (например, с подсетей администраторов, систем мониторинга и необходимых хостов ESXi).

  2. Отключите уязвимую службу Analytics (CEIP) через интерфейс командной строки VCSA. Это прямое и рекомендуемое VMware временное решение. ```bash # 1. Войдите в интерфейс командной строки VCSA по SSH. # 2. Запустите оболочку (shell). shell

    3. Выполните команду для отключения службы:

    service-control --stop vmware-analytics service-control --disable vmware-analytics

    4. (Опционально) Убедитесь, что служба остановлена и отключена:

    service-control --status vmware-analytics ```

    Примечание: Отключение этой службы может повлиять на отправку телеметрии в VMware. Восстановить работу можно командой service-control --enable vmware-analytics && service-control --start vmware-analytics после установки патча.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей