این آسیب‌پذیری‌ها محصولات زیر را تحت تاثیر قرار می‌دهند:

  • VMware vCenter Server (vCenter Server)
  • VMware Cloud Foundation (Cloud Foundation)

در صورتی که امکان بروزرسانی محصولات آسیب‌پذیر وجود ندارد، اقدامات زیر جهت کاهش مخاطرات آسیب‌پذیری‌های مذکور توصیه می‌گردد:

  • راه‌اندازی مجدد سرویس‌ها
  • افزونه‌ها باید روی حالت incompatible تنظیم شوند. غیرفعال کردن یک افزونه از داخل UI مانع از بهره‌برداری نمی‌شود.
  • افزونه‌های غیرفعال شده باید پس از اعمال بروزرسانی‌ها مجدداً فعال شوند.
  • محدود کردن دسترسی به رابط‌های مدیریتی سرور vCenter با استفاده از کنترل‌های دسترسی محیطی شبکه

برای فعال یا غیر فعال کردن افزونه‌ها در vSphere Client یا vSphere Web Client، باید فایل پیکربندی compatibility-matrix.xml که در یکی از دایرکتوری‌های زیر قرار دارد، ویرایش شود.

آدرس دایرکتوری مربوط به فایل compatibility-matrix.xml

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: 413-60af8f045ca16.png
مشاهده: 23
حجم: 31.7 کیلو بایت

خطوط زیر باید جهت غیرفعال کردن افزونه‌های آسیب‌پذیر به فایل compatibility-matrix.xml اضافه شوند:

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: 414-60af8f4503b3b.png
مشاهده: 18
حجم: 57.6 کیلو بایت

آسیب‌پذیری‌های مذکور، دارای شدت متوسط و بحرانی هستند. با توجه به شدت این آسیب‌پذیری‌ها، بهره‌برداری از آن‌ها منجر به اجرای کد از راه دور و نقض احرازهویت خواهد شد.

مهاجم با دسترسی به پورت ۴۴۳ در شبکه می‌تواند از آسیب‌پذیری CVE-2021-21985 برای اجرای دستورات با امتیازات بالا در سیستم‌عاملی که میزبان سرور vCenter است، بهره‌برداری کند.

همچنین می‌تواند با دسترسی به پورت ۴۴۳ در شبکه در سرور vCenter و بهره‌برداری از آسیب‌پذیری CVE-2021-21986، اقداماتی را با افزونه‌های تحت تأثیر آسیب‌پذیری، بدون انجام عمل احراز هویت انجام دهد.

آسیب‌پذیری در مکانیزم احراز هویت vSphere برای پلاگین‌های Virtual SAN Health، Recovery Site، vSphere Lifecycle Manager و VMware Cloud Director Availability است. VMware شدت این نقص را در محدوده شدت متوسط با حداکثر امتیاز CVSSv3 6.5 ارزیابی کرده است.

توصیه می‌شود هرچه سریع‌تر نسبت به بروزرسانی محصولات آسیب‌پذیر اقدام شود.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

61

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *