VMware ESXi OpenSLP 高危漏洞風險提示

漏洞公告
2020年10月20日，VMware官方更新發布了VMware ESXi、VMware Workstation Pro/Player(Workstation)、VMware Fusion Pro/Fusion(Fusion)、NSX-T、VMware Cloud Foundation等多個產品存在安全漏洞的公告，其中VMware ESXi漏洞風險較高，CVE編號：CVE-2020-3992, 相關鏈接參考：https://www.vmware.com/security/advisories...

根據公告，在VMware ESXi中使用的OpenSLP服務存在UAF（釋放后重用）漏洞，惡意攻擊者可以通過OpenSLP服務端口427實施攻擊，成功利用漏洞能實現遠程代碼執行效果，從而獲得目標系統管理權限，建議盡快測試漏洞修復的版本并及時升級。

VMware歷史安全漏洞公告參考：
https://www.vmware.com/security/advisories...

影響范圍

CVE-2020-3992遠程代碼執行漏洞主要影響以下ESXi版本：

ESXi 7.0版本，建議更新到ESXi_7.0.1-0.0.16850804以上版本；

ESXi 6.7版本，建議更新到ESXi670-202010401-SG以上版本；

ESXi 5.5版本，建議更新到ESXi650-202010401-SG以上版本；

VMware Cloud Foundation (ESXi) 4.x版本，建議更新到4.1以上版本；

VMware Cloud Foundation (ESXi) 4.x版本，建議更新到3.10.1.1以上版本。

通過安恒研究院SUMAP平臺對全球部署的VMware ESXi進行統計，最新查詢分布情況如下：

國內分布：

漏洞描述

CVE-2020-3992漏洞，根據分析，主要為VMware ESXi使用的OpenSLP服務存在UAF（內存釋放后重用）漏洞，惡意攻擊者可以通過OpenSLP服務端口TCP 427實施攻擊，成功利用漏洞能實現遠程代碼執行效果，從而獲得目標系統管理權限；如果漏洞利用失敗可能導致目標服務崩潰，達到拒絕服務效果，建議盡快測試漏洞修復的版本并及時升級。

緩解措施

高危：目前漏洞細節和利用代碼暫未公開，但可以通過補丁對比方式定位漏洞觸發點并開發漏洞利用代碼，建議盡快測試漏洞修復的版本并及時升級。

臨時緩解措施（停止或禁用OpenSLP前需確認功能影響）命令參考：

/etc/init.d/slpd stop（停止）

/etc/init.d/slpd start（啟動）

禁用和啟用等更多操作參考：
kb.vmware.com/s/article/76372

原創：安恒應急響應中心
原文鏈接：https://mp.weixin.qq.com/s/tR0RVqRe3ilZI0P...