關鍵詞 重大安全漏洞

　　2021年09月22日，360CERT監(jiān)測發(fā)現(xiàn)VMware官方發(fā)布了VMware vCenter Server/VMware Cloud Foundation的風險通告。

　　稱其產品 vCenter Server 和 Cloud Foundation 設備中存在多達 19 個安全漏洞，遠程攻擊者可以利用這些漏洞來控制受影響的系統(tǒng)。

　　VMware vCenter Server是VMware虛擬化管理平臺，廣泛的應用于企業(yè)私有云內網(wǎng)中。通過使用vCenter，管理員可以輕松的管理上百臺虛擬化環(huán)境，同時也意味著當其被攻擊者控制后會造成私有云大量虛擬化環(huán)境將被攻擊者控制。

　　對此，安全圈建議廣大用戶及時將VMwarevCenterServer/VMwareCloudFoundation升級到最新版本。與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。

　　VMware 修補的完整漏洞列表如下：

　　CVE-2021-22005（CVSS 評分：9.8）——vCenter Server 文件上傳漏洞

　　CVE-2021-21991（CVSS 評分：8.8）——vCenter Server 本地提權漏洞

　　CVE-2021-22006（CVSS 評分：8.3）——vCenter Server 反向代理繞過漏洞

　　CVE-2021-22011（CVSS 評分：8.1）——vCenter 服務器未經(jīng)身份驗證的 API 端點漏洞

　　CVE-2021-22015（CVSS 評分：7.8）——vCenter Server 權限不當本地提權漏洞

　　CVE-2021-22012（CVSS 評分：7.5）——vCenter Server 未經(jīng)身份驗證的 API 信息泄露漏洞

　　CVE-2021-22013（CVSS 評分：7.5）——vCenter Server 文件路徑遍歷漏洞

　　CVE-2021-22016（CVSS 評分：7.5）——vCenter Server 反映了 XSS 漏洞

　　CVE-2021-22017（CVSS 評分：7.3）——vCenter Server rhttpproxy 繞過漏洞

　　CVE-2021-22014（CVSS 評分：7.2）——vCenter Server 身份驗證代碼執(zhí)行漏洞

　　CVE-2021-22018（CVSS 評分：6.5）——vCenter Server 文件刪除漏洞

　　CVE-2021-21992（CVSS 評分：6.5）——vCenter Server XML 解析拒絕服務漏洞

　　CVE-2021-22007（CVSS 評分：5.5）——vCenter Server 本地信息泄露漏洞

　　CVE-2021-22019（CVSS 評分：5.3）——vCenter Server 拒絕服務漏洞

　　CVE-2021-22009（CVSS 評分：5.3）——vCenter Server VAPI 多重拒絕服務漏洞

　　CVE-2021-22010（CVSS 評分：5.3）——vCenter Server VPXD 拒絕服務漏洞

　　CVE-2021-22008（CVSS 評分：5.3）——vCenter Server 信息泄露漏洞

　　CVE-2021-22020（CVSS 評分：5.0）——vCenter Server Analytics 服務拒絕服務漏洞

　　CVE-2021-21993（CVSS 評分：4.3）——vCenter Server SSRF 漏洞