世界各地的数据中心有一个新的关注认为——远程代码漏洞在广泛使用VMware产品。
安全漏洞,VMware周二披露和修补,驻留在vCenter服务器,一个工具用于管理虚拟化在大型数据中心。vCenter服务器是用于管理VMware vSphere, ESXi主机产品,通过一些排名第一次和第二次是市场上最流行的虚拟化解决方案。Enlyft,一个网站,提供商业智能,显示43000多个组织vSphere使用。
“严重的”
一个VMware咨询说vCenter机器使用默认配置有一个bug,在许多网络,允许恶意代码的执行,当机器的一个端口,暴露在互联网上。脆弱性是追踪cve - 2021 - 21985,严重程度评分为9.8分(满分10)。
“vSphere客户机(HTML5)包含一个远程代码执行漏洞由于缺乏输入验证在虚拟圣健康检查插件,在vCenter默认启用服务器,“周二的咨询。“VMware已经评估这一问题的严重性重要程度范围最大CVSSv3基础得分是9.8……恶意演员与网络访问443端口可能利用这个问题来执行命令无限制的底层操作系统主机vCenter服务器上的特权。”
在响应常见问题“当我需要采取行动吗?公司官员写道:“马上,这个漏洞的后果是严重的。”
“vCenter虚拟化管理软件”,他在一次采访中说。“如果你攻击,你控制虚拟化层(例如,VMware ESXi)——允许访问在操作系统层(以及安全控制)。这是一个严重的漏洞,所以组织应该补丁或限制访问vCenter服务器授权管理员。”
Shodan,服务目录网站在互联网上可用的,表明有近5600面向公众vCenter机器。大多数或所有这些可能驻留在大型数据中心托管tb的敏感数据。Shodan显示顶部用户与vCenter服务器暴露在互联网上亚马逊,Hetzner在线GmbH是一家,OVH SAS和谷歌。
cve - 2021 - 21985今年第二vCenter脆弱性携带9.8评级。在一天内2月份的VMware修补漏洞,概念验证利用出现至少六个不同的来源。披露引发了一轮疯狂的大规模网络扫描的攻击和防守都寻找脆弱的服务器。vCenter版本6.5、6.7和7.0都受到影响。组织与脆弱的机器应优先考虑这个补丁。那些不能立即安装应遵循博蒙特的解决方案建议。VMware有更多的解决方法指导在这里。
VMware认为Ricter Z 360诺亚实验室报告这个问题。
65年读者评论
最后一次编辑精神错乱的2021年5月25日,星期二3:49点
如果有一个好的借口甚至1%的人在公共网络上,我想不出它。也许,可能,其中一些“粘蜜罐”,但除此之外?是的!不仅仅是他们有在互联网上——这是最后一次后,他们还在那里!WTF人? !是谁把完整的业余爱好者负责管理他们的虚拟环境,并将他们请停止。
或和限制访问vCenter服务器授权管理员。”FTFY凯文·博蒙特。
Welp,时间我家实验室的旋转不通过互联网访问VCSA实例和补丁。
在2013年或2014年我发现了一个bug vCenter (windows)软件的安装程序。我必须在安装程序中输入各种密码,和我,作为一个有安全意识的个体,使用一个随机密码生成器和所有特殊字符给尽可能多的熵和复杂性。
它要求密码,第一次我很乐意把它我的胡言乱语。它跑了,我对自己说,“太酷了!它必须接受复杂的密码!”The installer later crashed. After a couple of days on the phone with VMware techs that were consistently stumped, we pulled up the logs from one of the secondary installers and found that while it was passing the password appropriately to the secondary installer, the password had characters that the secondary installer didn't accept.
市场领先的软件,非常重要的企业跑,我25岁,10百分比支付屁股撞他们的安装程序,因为他们没有清洁他们的正确输入。我仍然使用VMware,但是他们的软件开发实践是他妈的垃圾。
相同的人不需要VPN的2月小崩溃吗?
在2013年或2014年我发现了一个bug vCenter (windows)软件的安装程序。我必须在安装程序中输入各种密码,和我,作为一个有安全意识的个体,使用一个随机密码生成器和所有特殊字符给尽可能多的熵和复杂性。
它要求密码,第一次我很乐意把它我的胡言乱语。它跑了,我对自己说,“太酷了!它必须接受复杂的密码!”The installer later crashed. After a couple of days on the phone with VMware techs that were consistently stumped, we pulled up the logs from one of the secondary installers and found that while it was passing the password appropriately to the secondary installer, the password had characters that the secondary installer didn't accept.
市场领先的软件,非常重要的企业跑,我25岁,10百分比支付屁股撞他们的安装程序,因为他们没有清洁他们的正确输入。我仍然使用VMware,但是他们的软件开发实践是他妈的垃圾。
不仅仅是VMware,这个问题。地狱,我的信用合作社接受密码特价,然后打破了账户登录过程需要调用重置。一个例子,但它是真的得到处都是。
除非你有访问网段的主机vCenter MFA,尽快你需要补丁。
IDK“互联网”角进来的地方。
在2013年或2014年我发现了一个bug vCenter (windows)软件的安装程序。我必须在安装程序中输入各种密码,和我,作为一个有安全意识的个体,使用一个随机密码生成器和所有特殊字符给尽可能多的熵和复杂性。
它要求密码,第一次我很乐意把它我的胡言乱语。它跑了,我对自己说,“太酷了!它必须接受复杂的密码!”The installer later crashed. After a couple of days on the phone with VMware techs that were consistently stumped, we pulled up the logs from one of the secondary installers and found that while it was passing the password appropriately to the secondary installer, the password had characters that the secondary installer didn't accept.
市场领先的软件,非常重要的企业跑,我25岁,10百分比支付屁股撞他们的安装程序,因为他们没有清洁他们的正确输入。我仍然使用VMware,但是他们的软件开发实践是他妈的垃圾。
不仅仅是VMware,这个问题。地狱,我的信用合作社接受密码特价,然后打破了账户登录过程需要调用重置。一个例子,但它是真的得到处都是。
所不同的是,你的信用联盟很小,而不是推动公共和私有数据中心的一个重要部分。
它甚至不是像没有选择。我能想到的hyper - v, XenServer(虽然今天老),和KVM(拥有许多风味)。
除非你有访问网段的主机vCenter MFA,尽快你需要补丁。
IDK“互联网”角进来的地方。
你说的话是真的,但“互联网”的角度是正确的文章:
“Shodan,服务目录网站在互联网上可用的,表明有近5600面向公众vCenter机器。”
如果内部有这个漏洞是不好的,这是远远更糟。
曾经遇到一个尖尖的头发的老板削减IT部门骨头,不给一个大便过度劳累和人手不足奴才处理呢?
曾经认识的人无法解释为什么使用TLS 1.0为你AWS铝青铜侦听器是一个糟糕透顶的坏主意,但由于连接,有一个工作吗?
曾经认识的人不给一个大便,只要他们不删除一个刺激数据库集群,他们只是海岸一生吗?
结合两个或两个以上的变量吗?
最后一次编辑副赶大车的人2021年5月25日,星期二下午分
通常,后严重/引人注目的安全问题,它激励别人开始寻找。两个白色帽子和黑色帽子。与现实生活的bug,它还与软件bug。如果你看到一个,这意味着可能有10多个。
通常,后严重/引人注目的安全问题,它激励别人开始寻找。两个白色帽子和黑色帽子。与现实生活的bug,它还与软件bug。如果你看到一个,这意味着可能有10多个。
是的,但是我可以把我的房子的周长10月喷雾,试着让它自动杀死所有的bug引入。我认为编程有点困难。并不是说程序员不会喜欢相当于雾手榴弹的项目…
这个会稍微减轻如果vCenter框执行相互TLS吗?
你需要的不仅仅是网络访问,你需要从一个值得信赖的系统吗?
这是第二个html5 vmware插件今年这个漏洞。
在2013年或2014年我发现了一个bug vCenter (windows)软件的安装程序。我必须在安装程序中输入各种密码,和我,作为一个有安全意识的个体,使用一个随机密码生成器和所有特殊字符给尽可能多的熵和复杂性。
它要求密码,第一次我很乐意把它我的胡言乱语。它跑了,我对自己说,“太酷了!它必须接受复杂的密码!”The installer later crashed. After a couple of days on the phone with VMware techs that were consistently stumped, we pulled up the logs from one of the secondary installers and found that while it was passing the password appropriately to the secondary installer, the password had characters that the secondary installer didn't accept.
市场领先的软件,非常重要的企业跑,我25岁,10百分比支付屁股撞他们的安装程序,因为他们没有清洁他们的正确输入。我仍然使用VMware,但是他们的软件开发实践是他妈的垃圾。
你不是唯一一个发现问题。只是发现问题可接受非字母数字字符通过密码强度需求的环境和non-interpretable安装程序的要求。
显然,是的。很明显,这不是一种脆弱你想耸耸肩对即使不是直接暴露到互联网上。
为什么?我只能猜测,“猜”,我的意思是讲一个很长的故事。我用来酿造自己的啤酒,并发现它是非常容易的。偶尔我的事情搞砸,但是通常我很高兴我做了什么,和我来发现做出像样的啤酒很容易如果你有半个大脑,可以主要是自己弄清楚。
后加入一个酿俱乐部和分享啤酒来回,我得知酿造啤酒*大*可能非常困难,需要学习很多困难和复杂的课程,通过自己的经验或别人的。
VMware也很容易弄清楚如果你有大脑的一半。做* *——计划失败,规划可伸缩性、规划安全、避免不相容的噩梦——事情不一定发生,只是它。和大量的和我一起工作的人(我真正的意思是这所有的爱和尊重)更接近光谱的“即兴表演”结束比我舒服的承认。
和大多数人知道,但他们工作的人“想要做”和“不明白为什么它是如此硬”。
这个会稍微减轻如果vCenter框执行相互TLS吗?
你需要的不仅仅是网络访问,你需要从一个值得信赖的系统吗?
可能不是因为它是一个输入验证错误,最有可能可以利用它才能启动认证机制,否则我认为这是一个特权升级攻击将CVE得分更低。
显然,是的。很明显,这不是一种脆弱你想耸耸肩对即使不是直接暴露到互联网上。
为什么?我只能猜测,“猜”,我的意思是讲一个很长的故事。我用来酿造自己的啤酒,并发现它是非常容易的。偶尔我的事情搞砸,但是通常我很高兴我做了什么,和我来发现做出像样的啤酒很容易如果你有半个大脑,可以主要是自己弄清楚。
后加入一个酿俱乐部和分享啤酒来回,我得知酿造啤酒*大*可能非常困难,需要学习很多困难和复杂的课程,通过自己的经验或别人的。
VMware也很容易弄清楚如果你有大脑的一半。做* *——计划失败,规划可伸缩性、规划安全、避免不相容的噩梦——事情不一定发生,只是它。和大量的和我一起工作的人(我真正的意思是这所有的爱和尊重)更接近光谱的“即兴表演”结束比我舒服的承认。
和大多数人知道,但他们工作的人“想要做”和“不明白为什么它是如此硬”。
,VPN烦人不简单的设置。(表示作为前网络管理,对思科配置它们,帕洛阿尔托,Ubiquiti,和Meraki)。我100%相信,如果客户VPN是一个切换特性设置水平,wayyyyy更多的企业将会使用它。
目前,我很高兴没有设置或管理它的人了。我最大的挑战是我这些天homelab。
也许不是全部使用vCenter服务器,但我曾经vCenter服务器从它出现在我们的小商店60左右的员工,我不能想象有人愿意不。
无论如何,这显然是一个巨大的复杂的问题。如上jhodge评论,超过5 k vCenter服务器机器不知何故被暴露在公共网络不可思议。
当殖民管道入侵的消息第一次打破了,我花了很短的时间试图找出这样的事情甚至可能是可能的。然后我提醒自己所有的这些文章Ars证明愚蠢坦白说显然是不负责任的网络犯罪实践社交礼仪上必要的在这个世界上,然后转向想知道的第一个该类型的大灾难。
长话短说,让你的vCenter服务器打补丁的人。奥丁的缘故,把你的屎从公共网络。
实际上,这里有一个的标准,和一个计算器!
sudo chmod - r / * 777
俄罗斯法官几乎总是螺丝我们结束了。所以很难得分固体10这些天。
如果有一个好的借口甚至1%的人在公共网络上,我想不出它。也许,可能,其中一些“粘蜜罐”,但除此之外?是的!不仅仅是他们有在互联网上——这是最后一次后,他们还在那里!WTF人? !是谁把完整的业余爱好者负责管理他们的虚拟环境,并将他们请停止。
没有没有。如果你有资金在VSphere上运行一个集群,你能负担得起一个最小的防火墙和vpn隐藏直接访问它。
关键基础设施在网上是真的疯了。但您需要锁定内部访问。
如果有一个好的借口甚至1%的人在公共网络上,我想不出它。也许,可能,其中一些“粘蜜罐”,但除此之外?是的!不仅仅是他们有在互联网上——这是最后一次后,他们还在那里!WTF人? !是谁把完整的业余爱好者负责管理他们的虚拟环境,并将他们请停止。
这种情况发生时,没有人知道如何配置VPN。
如果有一个好的借口甚至1%的人在公共网络上,我想不出它。也许,可能,其中一些“粘蜜罐”,但除此之外?是的!不仅仅是他们有在互联网上——这是最后一次后,他们还在那里!WTF人? !是谁把完整的业余爱好者负责管理他们的虚拟环境,并将他们请停止。
没有没有。如果你有资金在VSphere上运行一个集群,你能负担得起一个最小的防火墙和vpn隐藏直接访问它。
或他们图软件成本,让雇佣人10美元一个小时来安装和管理防火墙。
如果有一个好的借口甚至1%的人在公共网络上,我想不出它。也许,可能,其中一些“粘蜜罐”,但除此之外?是的!不仅仅是他们有在互联网上——这是最后一次后,他们还在那里!WTF人? !是谁把完整的业余爱好者负责管理他们的虚拟环境,并将他们请停止。
没有没有。如果你有资金在VSphere上运行一个集群,你能负担得起一个最小的防火墙和vpn隐藏直接访问它。
完整的猜想,但我想象中的盗版键组可能是相当高的,而且相当多家实验室。
不以任何方式它的借口,但指出资金可能没有尽可能多的与这一假设。
曾经遇到一个尖尖的头发的老板削减IT部门骨头,不给一个大便过度劳累和人手不足奴才处理呢?
曾经认识的人无法解释为什么使用TLS 1.0为你AWS铝青铜侦听器是一个糟糕透顶的坏主意,但由于连接,有一个工作吗?
曾经认识的人不给一个大便,只要他们不删除一个刺激数据库集群,他们只是海岸一生吗?
结合两个或两个以上的变量吗?
你刚刚描述准确,甚至我还是不会暴露我的vCenter服务器网络
曾经遇到一个尖尖的头发的老板削减IT部门骨头,不给一个大便过度劳累和人手不足奴才处理呢?
曾经认识的人无法解释为什么使用TLS 1.0为你AWS铝青铜侦听器是一个糟糕透顶的坏主意,但由于连接,有一个工作吗?
曾经认识的人不给一个大便,只要他们不删除一个刺激数据库集群,他们只是海岸一生吗?
结合两个或两个以上的变量吗?
你刚刚描述准确,甚至我还是不会暴露我的vCenter服务器网络
AWS / Azure vm这么做吗?
曾经遇到一个尖尖的头发的老板削减IT部门骨头,不给一个大便过度劳累和人手不足奴才处理呢?
曾经认识的人无法解释为什么使用TLS 1.0为你AWS铝青铜侦听器是一个糟糕透顶的坏主意,但由于连接,有一个工作吗?
曾经认识的人不给一个大便,只要他们不删除一个刺激数据库集群,他们只是海岸一生吗?
结合两个或两个以上的变量吗?
你刚刚描述准确,甚至我还是不会暴露我的vCenter服务器网络
AWS / Azure vm这么做吗?
是的。你不需要这样做,但这需要更多的钱。
曾经遇到一个尖尖的头发的老板削减IT部门骨头,不给一个大便过度劳累和人手不足奴才处理呢?
曾经认识的人无法解释为什么使用TLS 1.0为你AWS铝青铜侦听器是一个糟糕透顶的坏主意,但由于连接,有一个工作吗?
曾经认识的人不给一个大便,只要他们不删除一个刺激数据库集群,他们只是海岸一生吗?
结合两个或两个以上的变量吗?
你刚刚描述准确,甚至我还是不会暴露我的vCenter服务器网络
AWS / Azure vm这么做吗?
如果你只是把他们扔进公共公共ip子集,是的。
如果你有预算和知道你在做什么,你把它们背后的铝青铜NAT网关(他们只盖1 az,你想哈az失败的事件,对吧?),在私人子网。但这些nat网关和铝青铜成本钱。这句话我说的是“云计算平台有一万亿个铃铛和口哨……他们会收取每叮你。”
曾经遇到一个尖尖的头发的老板削减IT部门骨头,不给一个大便过度劳累和人手不足奴才处理呢?
曾经认识的人无法解释为什么使用TLS 1.0为你AWS铝青铜侦听器是一个糟糕透顶的坏主意,但由于连接,有一个工作吗?
曾经认识的人不给一个大便,只要他们不删除一个刺激数据库集群,他们只是海岸一生吗?
结合两个或两个以上的变量吗?
你刚刚描述准确,甚至我还是不会暴露我的vCenter服务器网络
AWS / Azure vm这么做吗?
如果你只是把他们扔进公共公共ip子集,是的。
如果你有预算和知道你在做什么,你把它们背后的铝青铜NAT网关(他们只盖1 az,你想哈az失败的事件,对吧?),在私人子网。但这些nat网关和铝青铜成本钱。这句话我说的是“云计算平台有一万亿个铃铛和口哨……他们会收取每叮你。”
我指的是资源管理器本身,都是一个简单的API调用。无论你想做什么和你的虚拟机你要通过HTTPS设置它。
Buuuut .....我想我现在要去ssh和禁用这些插件。
你必须登录或创建一个帐户置评。