CVE-2021-22017

VMware vCenter Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-10

Официальное описание

Rhttproxy as used in vCenter Server contains a vulnerability due to improper implementation of URI normalization.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в компоненте rhttpproxy VMware vCenter Server, связанная с неправильной нормализацией URI. Злоумышленник может отправить специально сформированный HTTP-запрос, чтобы обойти аутентификацию и получить несанкционированный доступ к внутренним службам vCenter.

Как исправить

Установите официальный патч от VMware, соответствующий вашей версии vCenter Server.

  1. Определите текущую версию vCenter Server. bash # На сервере vCenter выполните: cat /etc/vmware-vpx/version

  2. Установите патч через интерфейс VAMI (порт 5480) или CLI.

    • Для vCenter Server 7.0: обновитесь до версии 7.0 U2c или выше.
    • Для vCenter Server 6.7: обновитесь до версии 6.7 U3o или выше.
    • Для vCenter Server 6.5: обновитесь до версии 6.5 U3q или выше.

    Скачайте необходимый патч (например, VMware-vCenter-Server-Appliance-<версия>-<build>-updaterepo.zip) с портала VMware и установите его.

    Пример команды для установки через CLI (замените на актуальный путь к пакету): bash software-packages install --url https://vcenter.example.com/patch/VMware-vCenter-Server-Appliance-7.0.2.00200-19234570-updaterepo.zip --acceptEulas

Временное решение

Если немедленная установка патча невозможна, ограничьте доступ к vCenter Server.

  1. Ограничьте сетевой доступ.

    • Настройте правила брандмауэра (NSX, физического или host-based), чтобы разрешить входящие подключения к портам vCenter (например, 443, 5480) только с доверенных IP-адресов (адресов администраторов, систем управления).
    • Блокируйте все остальные источники.

    Пример правила iptables (для временного использования): ```bash

    Разрешить только с доверенной подсети 10.1.1.0/24

    iptables -A INPUT -p tcp --dport 443 -s 10.1.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j DROP ```

  2. Настройте WAF (Web Application Firewall).

    • Разверните WAF (например, VMware NSX Advanced Load Balancer, F5) перед vCenter.
    • Настройте правило, блокирующее запросы, содержащие в URI последовательности для обхода пути (..;, //, \\).

  3. Минимизируйте время воздействия.

    • Запланируйте установку патча в ближайшее окно обслуживания. Временные меры не устраняют уязвимость, а лишь усложняют её эксплуатацию.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей