这个高危的VMware漏洞让你网络上的任何人都可以创建新的管理员用户,无需登录信息!

VMware近日发布了安全更新,修复了vCenter Server虚拟基础架构管理平台中的一个严重漏洞,这个漏洞可能使攻击者得以访问敏感信息,并有可能进而控制受影响的虚拟设备或Windows系统。

2020年4月9日发布了VMSA-2020-0006。该通报记录了CVE-2020-3952确定的严重严重性敏感信息披露漏洞。如该通报中所述,如果从先前的发行版(例如6.0或6.5)升级,则6.7u3f之前的vCenter Server 6.7(嵌入式或外部PSC)将受到CVE-2020-3952的影响。

这个高危的VMware漏洞让你网络上的任何人都可以创建新的管理员用户,无需登录信息!-VirtualVMW

vCenter Server为IT管理员提供了这种服务:通过单单一个控制台对企业环境中的虚拟化主机和虚拟机进行集中式管理。
VMware声称:“借助vCenter Server,虚拟环境更易于管理:单单一名管理员就可以管理成百上千个工作负载,管理物理基础架构时工作效率提高一倍都不止。”
美国网络安全和基础设施安全局(CISA)发出了警报,声称“攻击者有可能利用这个漏洞以控制受影响的系统”,并鼓励用户和管理员尽快更新。
高危漏洞得到CVSSv3最高分:10分
研究人员私下报告的这个漏洞标为CVE-2020-3952;据VMware发布的安全公告显示,它得到了CVSSv3最高分:10分,表明这是严重级别最高的漏洞。
这个安全问题只影响已升级安装环境上的VMware Directory Service(vmdir),是访问控制实施不正确造成的。
VMware声称,如果从6.0或6.5等之前的版本系列升级而来,6.7u3f之前的vCenter Server 6.7(嵌入式或外部PSC)受CVE-2020-3952的影响。干净安装的vCenter Server 6.7(嵌入式或外部PSC)则不受影响。
VMware解释道:“在某些情况下,作为嵌入式或外部平台服务控制器(PSC)一部分、VMware vCenter Server随带的vmdir无法正确实施访问控制。”
“如果不怀好意的人通过网络访问受影响的vmdir部署系统上的端口389,就能够获取高度敏感的信息(比如管理员帐户的登录信息),而这些信息可能会用于破坏vCenter Server或依赖vmdir进行身份验证的其他服务。”
VMware的KB78543支持文档具体列出了如何查明你的vCenter Server部署系统是否受CVE-2020-3952影响的详细步骤。

以下内容摘自VMware官方KB知识库

当vmdir服务开始声明启用了旧ACL模式时,受影响的部署将创建一个日志条目。

  • 虚拟设备日志文件位置:/var/log/vmware/vmdird/vmdird-syslog.log
  • Windows日志文件位置:%ALLUSERSPROFILE%\ VMWare \ vCenterServer \ logs \ vmdird \ vmdir.log

示例

2020-04-06T17:50:41.859003+00:00 info vmdird  t@139910871058176: Domain Functional Level (1)
2020-04-06T17:50:41.859668+00:00 info vmdird  t@139910871058176: VmDirKrbInit, REALM (VSPHERE.LOCAL)
2020-04-06T17:50:41.860526+00:00 info vmdird  t@139910871058176: ACL MODE: Legacy
2020-04-06T17:50:41.864522+00:00 info vmdird  t@139910871058176: VmDirBindServer() end-point type (ncalrpc), end-point name (vmdirsvc) VmDirRpcServerUseProtSeq() succeeded.

通过将受影响的部署升级到6.7u3f或7.0,可以解决此漏洞。

注意事项

  • 为了受到CVE-2020-3952的影响,部署必须满足2个条件。首先,它必须是6.7u3f之前的6.7部署。其次,它必须在旧版ACL模式下运行。
  • 因为仅在vmdir启动时才抛出“ ACL模式:旧式”日志条目,所以即使在受影响的部署上,由于日志文件的翻转,也可能会缺少该条目。
  • 即使在这些版本中解决了CVE-2020-3952,在升级到6.7u3f和/或7.0之后,仍会引发ACL模式:旧日志条目。

如果有重大更改,将对本文的“  更新历史记录”部分进行修订。单击“  订阅”可在向该文档中添加新信息时收到警报,并在我们的“  安全公告”邮件列表中进行注册  以接收新的和更新的VMware Security Advisor。

发表评论

电子邮件地址不会被公开。 必填项已用*标注