|
VMware는 vCenter 설치에서 중요한 RCE 버그를 수정한다. 침해사고분석팀 2021.02.24 |
|
|
VMware는 공격자가 영향을 받는 시스템을 잠재적으로 제어할 수 있는 vCenter Server 가상 인프라 관리 플랫폼의 원격 코드 실행(RCE) 취약점을 해결했습니다.
vCenter Server는 IT 관리자가 단일 콘솔을 통해 엔터프라이즈 환경 내의 가상화된 호스트와 가상 시스템을 관리할 수 있도록 지원한다.
RCE, 거의 만점의 심각도 점수가 할당되다
비공개적으로 보고된 취약점은 CVE-2021-21972로 추적되며, VMware의 보안 권고에 따라 CVSSv3 점수가 10점 만점에 9.8점으로 평가되었다.
CVE-2021-21972는 Positive Technologies의 Mikhail Klyuchnikov에 의해 보고되었으며, 사용자 상호 작용이 필요하지 않은 난이도가 낮은 공격에서 인증되지 않은 공격자가 원격으로 이용할 수 있다.
VMware는 권고에서 "vSphere Client(HTML5)에는 vCenter Server 플러그인에 원격 코드 실행 취약점이 있다. 포트 443에 대한 네트워크 액세스 권한이 있는 악의적인 행위자는 이 문제를 이용하여 vCenter Server를 호스팅하는 기본 운영 체제에서 무제한 권한으로 명령을 실행할 수 있다."라고 설명한다.
영향을 받는 vROps(vRealize Operations)용 vCenter Server 플러그인은 모든 기본 설치에 있으며 영향을 받는 엔드 포인트를 사용하는 데 vROP가 필요하지 않다.
[그림1. 취약점 동작 방식 트윗]
사용 가능한 해결 방법
해당 취약점은 중요한 취약점이므로 vCenter Server 설치를 가능한 한 빨리 업그레이드하는 것이 좋다.
이 취약점을 패치하려면 영향을 받는 버전을 vCenter Server 6.5 U3n, 6.7 U3l 또는 7.0 U1c로 업그레이드해야 한다.
VMware는 또한 CVE-2021-21972 보안 결함을 패치하는 버전으로 즉시 업데이트할 수 없는 사용자를 위해 공격 가능성을 제거하는 해결 방법을 제공한다.
Linux 기반 가상 어플라이언스(vCSA)에서 해결 방법을 구현하는 자세한 단계는 VMware의 KB82374 지원 문서에서 확인할 수 있습니다.
또한, 공격자가 영향을 받는 장치에서 원격으로 임의 코드를 실행할 수 있도록 하는 VMware ESXi의 중요한 힙 오버플로우 취약점(CVE-2021-21974)을 수정했다.
2020년 4월에 VMware는 공격자가 민감한 정보에 액세스하고 영향을 받는 Windows 시스템 또는 가상 어플라이언스를 잠재적으로 제어할 수 있는 또 다른 중요한 vCenter Server 취약점을 해결했다.
출처 https://securityaffairs.co/wordpress/114957/security/vmware-in-vcenter-server-rce.html
|
