近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒, VMware官方发布了编号为VMSA-2021-0018的漏洞风险通告,涉及到VMware vRealize Operations、VMware 云基础、vRealize Suite 生命周期管理器等产品,其中包括任意文件读取、访问控制缺陷、服务器端请求伪造等,可能造成用户敏感信息泄露、访问用户内网资源等危害。
一、漏洞综述
1.1 漏洞背景
VMware软件原生集成计算、网络和存储虚拟化技术及自动化和管理功能,支持企业革新其基础架构、自动化IT服务的交付和管理及运行新式云原生应用和基于微服务应用。
1.2 漏洞原理
1.CVE-2021-22022: vRealize Operations Manager API任意文件读取漏洞
该漏洞是由于vRealize Operations Manager API 中存在任意文件读取漏洞,使得对vRealize Operations Manager API 具有管理访问权限的恶意攻击者可以读取服务器上的任何文件,可能会导致敏感信息泄露。
严重等级:中等 评分:4.4
2、CVE-2021-22023: vRealize Operations Manager API不安全直接对象引用漏洞
该漏洞是由于 vRealize Operations Manager API 存在不安全的对象引用,使得对vRealize Operations Manager API 具有管理访问权限的恶意攻击者可以修改其他用户的信息,从而可能会导致账户接管。
严重等级:中等 评分:6.6
CVE-2021-22024: vRealize Operations Manager API 任意日志文件读取漏洞
该漏洞是由于vRealize Operations Manager API存在一个任意日志文件读取漏洞,该漏洞允许通过网络访问vRealize Operations Manager API 的未进行身份验证的恶意攻击者读取任意日志文件,从而可能导致敏感信息泄露。
严重等级:重要 评分:7.5
CVE-2021-22025: vRealize Operations Manager API 访问控制缺陷漏洞
该漏洞是由于vRealize Operations Manager API存在访问控制缺陷,该漏洞可能导致通过网络访问 vRealize Operations Manager API 的未进行身份验证的恶意攻击者向现有 vROps 群集添加新节点。
严重等级:重要 评分:8.6
CVE-2021-22026、CVE-2021-22027: vRealize Operations Manager API服务器端请求伪造
该漏洞是由于vRealize Operations Manager API在多个端点中存在服务器端请求伪造漏洞,该漏洞可能导致通过网络访问 vRealize Operations Manager API 的未进行身份验证的恶意攻击者可以执行服务器端请求伪造攻击,从而可能导致信息泄露。
严重等级:重要 评分:7.5
二、影响范围
软件版本
VMware vRealize Operations Manager8.4.0
VMware vRealize Operations Manager8.3.0
VMware vRealize Operations Manager8.2.0
VMware vRealize Operations Manager8.1.1
VMware vRealize Operations Manager8.1.0
VMware vRealize Operations Manager8.0.1
VMware vRealize Operations Manager8.0.0
VMware vRealize Operations Manager7.5.0
三、处置方法
3.1 官方补丁
目前官方已发布漏洞修复补丁,请受影响的用户及时升级补丁以修复该漏洞,参考链接:
https://www.vmware.com/security/advisories/VMSA-2021-0018.html