标签归档:漏洞

VMware vCenter Server中的CVE-2021-21972 and CVE-2021-21973漏洞处理方法

影响和修复的 vCenter Server 版本:

版本受影响的版本固定版本发布日期VAMI/发行说明
内部版本		Client/MOB/vpxd.log
内部版本编号
 7.0  7.0 U1c 之前的所有版本 7.0 U1c(或更高版本)2020-12-1717327517(或更高版本)17327586(或更高版本)
 6.7 VCSA6.7 U3l 之前的所有版本6.7 U3l(或更高版本)2020-11-1917138064(或更高版本)17137327(或更高版本)
6.7 Windows6.7 U3l 之前的所有版本6.7 U3l(或更高版本)2020-11-1917138064(或更高版本)17137232(或更高版本)
版本影响的版本固定版本发布日期内部版本号
6.5(VCSA 和 Windows)6.5 U3n 之前的所有版本6.5 U3n(或更高版本)2021-02-2317590285(或更高版本)

以下链接详细说明了如何升级 VCSA 计算机。vSphere 6.7 https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-6-7/ta-p/2833192vSphere 7.0https://communities.vmware.com/t5/vSphere-Upgrade-Install/Addressing-VMSA-2021-0002-for-vCenter-7-0/ta-p/2833079

功能影响
影响仅限于使用 vRealize Operations 的环境。需要注意的是,无论 vRealize Operations 是否引入到环境中,vCenter Server 中都存在易受攻击的端点。

  • 新 vRealize Operations 客户将没有通过插件自动安装和配置 vRealize Operations Appliance 的置备/选项。
  • 在 vRealize Operations with vCenter 中配置 vCenter 适配器的客户将无法在 vSphere Client (HTML 5) 中显示衡量指标和警示详细信息(包括 vCenter Server 和 vSAN 概览小组件)。

要实施基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

插件必须设置为”不兼容”。从 UI 中禁用插件不会保护系统免受此漏洞的影响。
在运行 vCenter High Availability (VCHA) 的环境中,需要同时在主动节点和被动节点上执行此解决办法

  1. 使用 SSH 会话和 root 凭据连接到 vCSA。
  2. 备份 /etc/vmware/vsphere-ui/compatibility-matrix.xml 文件:

cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xml /etc/vmware/vsphere-ui/compatibility-matrix.xml.backup

  1. 在文本compatibility-matrix.xml 文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

  1. 此文件的内容如下所示: 
/etc/vmware/vsphere-ui/compatibility-matrix.xml before 解决办法
  1. 添加以下条目:

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 该文件应如下所示:
/etc/vmware/vsphere-ui/compatibility-matrix.xml (解决办法后)
  1. 通过键入:compatibility-matrix.xmlcompatibility-matrix.xml :wq!
  2. 重新启动 vsphere-ui 服务。使用命令: service-control –restart vsphere-ui.
  3. 导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示”404/未找到(如下所示)”错误。 
导航到 https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister。此页面显示"404/未找到 (404/Not Found)"错误
  1. 在 vSphere Client (HTML5) 中,在管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为”不兼容”,如下所示
在 h5-client 中,在 管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为"不兼容",如下所示
  1. 这可确认端点/ui/vropspluginui设置为”不兼容”。

要针对基于 Windows 的 vCenter Server 部署实施 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

插件必须设置为”不兼容”。从 UI 中禁用插件不会保护系统免受此漏洞的影响)
 

  1. 从 RDP 到基于 Windows 的 vCenter Server。
  2. 备份文件 – 

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

  1. 此文件的内容如下所示:
compatibility-matrix.xml before 解决办法
  1. 添加以下条目: 

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 文件应如下所示:
compatibility-matrix.xml after 解决办法
  1. 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control –restart vsphere-ui
  2. 从 Web 浏览器中,导航到:
    https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister.
    页面显示”404/未找到(如下所示)”错误:
  1. 在 vSphere Client (HTML 5) 中,在 管理 > Solutions > client-plugins 下,VMware vROPS Client 插件可能会显示为”不兼容”,如下所示:
在 h5-client 中,VMware vROPS Client 插件在 管理 > Solutions > client-plugins 下可视为"不兼容"
  1. 这可确认端点/ui/vropspluginui 设置为”不兼容”。

要恢复在基于 Linux 的虚拟设备 (vCSA) 上 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

  1. 使用 SSH 会话和 root 凭据连接到 vCSA。
  2. 在文本compatibility-matrix.xml 文件:

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

  1. 移除该文件中的以下行。 

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 重新启动 vsphere-ui service。使用命令 – service-control –restart vsphere-u
  2. 验证 vSphere-ui 服务已启动。
  3. VMware vROPS 客户端插件状态为已部署/已启用

要恢复基于 Windows 的 vCenter Server 部署中 CVE-2021-21972 和 CVE-2021-21973 的解决办法,请执行以下步骤:

  1. 连接到 Windows vCenter Server。
  2. 使用文本编辑器编辑文件:

C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml

  1. 移除该文件中的以下行。 

<Matrix>

<pluginsCompatibility>

. . . . 

. . . . 

<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

</pluginsCompatibility>

</Matrix>

  1. 使用命令重新启动 vsphere-ui 服务:C:\Program Files\VMware\vCenter Server\bin> service-control –restart vsphere-ui
  2. 验证 vSphere-ui service 已启动。
  3. VMware vROPS 客户端插件状态为已部署/已启用

ESXi 6.x 中的 OpenSLP 安全漏洞 (CVE-2019-5544) 处理方法

执行以下步骤:
 

  1. 使用以下命令停止 ESXi 主机上的 SLP 服务:

/etc/init.d/slpd stop

注意:仅当 SLP 服务未在使用中的时候才能将其停止。使用以下命令可查看服务位置协议守护进程的运行状况:

esxcli system slp stats get
 

  1. 运行以下命令以禁用 SLP 服务:

esxcli network firewall ruleset set -r CIMSLP -e 0

要使此更改在重新引导后仍然有效,请执行以下操作:

chkconfig slpd off

检查重新引导后此更改是否仍然有效:

chkconfig –list | grep slpd

output: slpd off
 

要移除适用于 CVE-2019-5544 的权宜措施,请执行以下步骤:

  1. 运行以下命令以启用 SLP 服务的规则集:

esxcli network firewall ruleset set -r CIMSLP -e 1

  1. 运行以下命令以更改 slpd 服务的当前启动信息:

chkconfig slpd on

运行以下命令以检查运行上述步骤(步骤 2)后更改是否有效:

chkconfig –list | grep slpd

output: slpd on

  1. 运行以下命令以启动 SLP 服务:

/etc/init.d/slpd start

深信服防火墙配置IPS的说明

深信服防火墙的基础功能带有漏洞攻击防护,即IPS,可以根据IPS策略对服务器和客户端做IPS防护,增加模块有WAF、网站防篡改、实时漏洞分析。

一般没有购买增强模块,只有漏洞攻击防护,没有实时漏洞分析,其实实时漏洞分析是根据服务器返回的数据包来检测服务器是否存在漏洞,也就是说只能检测不能拦截,且只针对服务器。

基础版本的漏洞攻击防护即可以检测又可以拦截(策略配置成拒绝),而且不仅对服务器生效也对客户端也生效。但是配置IPS的时候有以下几点需要注意:

1、假设防火墙有WAN、LAN1、LAN2三个区域,WAN接公网,LAN1接内网PC,LAN2接服务器,那么业务防护(保护服务器)的配置,源区域为WAN,目的区域为LAN2,IPS选项勾选保护服务器、口令暴力破解即可,不要勾选保护客户端、恶意软件。

2、保护客户端的IPS策略,源区域为LAN1,目的区域为WAN,只勾选保护客户端、恶意软件,不要勾选保护服务器、口令暴力破解

3、以上两点为建议配置,如果将IPS策略源区域和目的区域选所有,可能会出现误报现象,如果对于客户端区域(没有服务器的情况下)勾选了保护服务器、口令暴力破解,也会出现误报。

操作系统的常见漏洞利用和攻击方式

本文 是一篇linux安全指南,但是该文章同样适合于windows等其他操作系统。

以下是某些最常见的漏洞利用以及入侵者用来进入组织内部网络资源的常用入口。避免这些常见漏洞利用的关键是了解这些活动的进行方式,以及管理员应该如何保护他们的网络来免遭这类攻击。

漏洞利用 描述 备注
空白或默认口令 把管理性口令留为空白或使用产品生产商所设置的默认口令。虽然某些运行在 Linux 上的服务包含默认管理口令(红帽企业 Linux 中并不包含),这种行为在硬件(如路由器和 BIOS)中最常见。
在路由器、防火墙、VPN 和网络连接的贮存设备(NAS)中最常见;
在许多过时了的操作系统,特别是附带服务的 OS,如 UNIX 和 Windows;
管理员有时会在匆忙间创建一个有特权的用户而把口令留为空白。这就会成为发现了这个用户帐户的入侵者的完美入口。

 
默认共享密钥 安全服务有时会把用于开发或评估测试目的的默认安全密钥打入软件包内。如果这些密钥不经改变而被用于互联网上的生产环境,那么任何拥有同样的默认密钥的用户都可以使用那个共享密钥资源,以及其中的保密信息。
在无线访问点和预配置的安全服务器设备中最常见。
CIPE包含一个用于示范的静态密钥,在转入生产环境前,这个密钥必须被改变。

 
IP 假冒(Spoofing) 某个远程机器是你的本地网络上的一个节点,它在你的服务器上寻找弱点,并安装一个后门程序或特洛伊木马来获取对你的网络资源的控制。
由于“假冒”要求怪客预测 TCP/IP SYN-ACK 号码来协调到目标系统的连接,它通常较难做到。但是有好几种工具可以帮助攻击者从事这类活动。
它倚赖于目标系统上运行使用基于源(source-based)的验证技术的服务(例如rshtelnet、FTP 等等)。和 PKI 及其它用在 ssh 或 SSL/TLS 的加密验证相比,这种验证技术是不被提倡的。

 
窃听 通过窃听网络中的两个活跃节点的连接来收集它们之间传递的信息。
这类攻击多数在使用纯文本传输协议(如 Telnet、FTP、和 HTTP 传输)时发生。
远程怪客必须具备到某个 LAN 上的一个已被弱化的系统的进入权;通常,攻击者已经使用了某种积极攻击方式(如 IP 假冒或中间人攻击)来弱化这个 LAN 上的某个系统。
防护措施包括加密钥匙、单次有效口令、以及防窃听的加密验证;强度加密传输也值得一试。

 
服务弱点 攻击者在互联网上运行的某个服务中寻找缺陷或漏洞;通过这个弱点,攻击者可以危及整个系统以及系统上的任何数据,甚至还能够危及网络上的其它系统。
基于 HTTP 的服务,如 CGI,在执行远程命令甚至使用互动 shell 方面有弱点。即便作为一名无特权的用户来运行 HTTP 服务,攻击者也可以读取配置文件和网络图等。或者,攻击者可以发动“拒绝服务”攻击来用尽系统资源或使其无法为其他用户提供服务。
在开发和测试中,某些服务中的弱点可能没有被注意到;这些弱点(如:缓冲区溢出,buffer overflow。攻击者可以通过使用大于可接受的信息量来填充地址内存,导致服务崩溃,从而给攻击者提供一个互动命令提示。)能够给攻击者完全的管理控制。
管理员应该确保服务不是以根用户身份运行;并时刻关注来自开发商或安全组织(如 CERT 和 CVE)的补丁和勘误更新。

 
应用程序弱点 攻击者在桌面系统和工作站应用程序(如电子邮件客户程序)中寻找缺陷并执行任意编码、插入用于未来攻击行为的特洛伊木马、或者崩溃系统。如果被危及的工作站拥有对整个网络的管理特权,还会发生进一步的漏洞利用。
工作站和桌面系统更容易被蓄意利用,因为使用工作站和桌面系统的用户没有防止或检测攻击活动的专业知识或经验。把安装未经授权的软件或打开不请自来的邮件的危险性通知给用户是极端重要的。
可以实施一些防护措施,因此电子邮件客户软件不会自动打开或执行附件。此外,通过红帽网络或其它系统管理服务来自动更新工作站软件也可以减轻应用多种安全策略所带来的负担。

 
拒绝服务(DoS)攻击 攻击者或一组攻击者通过给目标机器(服务器、路由器或工作站)发送未经授权的分组来协调对某个机构的网络或服务器资源的攻击。这会迫使合法用户无法使用资源。
在美国报导最多的 DoS 案例发生在2000年。那次攻击是一次协调的试通洪流(ping flood)攻击,它令几个带有高带宽连接的被危及的系统充当僵尸(zombies),或重导向广播器,使好几家交通流量极大的商业和政府网站都陷于瘫痪。
源分组通常是伪造的(和重新广播的),这使调查攻击的真正发源地的任务变得很艰巨。
在使用 iptables 和类似 snort 的网络 IDS 技术的入口过滤(IETF rfc2267)方面的进展,给管理员跟踪并防御分布型 DoS 攻击提供了协助。

 

附几种常用网络入侵检测工具:Wellenreiter、NetStumbler、Snort、Dsniff。