VMware vCenter 爆出19個重大漏洞，可遠程執行任意代碼

2021年09月22日，360CERT監測發現VMware官方發布了VMware vCenter Server/VMware Cloud Foundation的風險通告，稱其產品 vCenter Server 和 Cloud Foundation 設備中存在多達 19 個安全漏洞，遠程攻擊者可以利用這些漏洞來控制受影響的系統。

VMware vCenter Server是VMware虛擬化管理平臺，廣泛的應用于企業私有云內網中。通過使用vCenter，管理員可以輕松的管理上百臺虛擬化環境，同時也意味著當其被攻擊者控制后會造成私有云大量虛擬化環境將被攻擊者控制。

對此，安全圈建議廣大用戶及時將VMwarevCenterServer/VMwareCloudFoundation升級到最新版本。與此同時，請做好資產自查以及預防工作，以免遭受黑客攻擊。

VMware 修補的完整漏洞列表如下：

CVE-2021-22005（CVSS 評分：9.8）——vCenter Server 文件上傳漏洞

CVE-2021-21991（CVSS 評分：8.8）——vCenter Server 本地提權漏洞

CVE-2021-22006（CVSS 評分：8.3）——vCenter Server 反向代理繞過漏洞

CVE-2021-22011（CVSS 評分：8.1）——vCenter 服務器未經身份驗證的 API 端點漏洞

CVE-2021-22015（CVSS 評分：7.8）——vCenter Server 權限不當本地提權漏洞

CVE-2021-22012（CVSS 評分：7.5）——vCenter Server 未經身份驗證的 API 信息泄露漏洞

CVE-2021-22013（CVSS 評分：7.5）——vCenter Server 文件路徑遍歷漏洞

CVE-2021-22016（CVSS 評分：7.5）——vCenter Server 反映了 XSS 漏洞

CVE-2021-22017（CVSS 評分：7.3）——vCenter Server rhttpproxy 繞過漏洞

CVE-2021-22014（CVSS 評分：7.2）——vCenter Server 身份驗證代碼執行漏洞

CVE-2021-22018（CVSS 評分：6.5）——vCenter Server 文件刪除漏洞

CVE-2021-21992（CVSS 評分：6.5）——vCenter Server XML 解析拒絕服務漏洞

CVE-2021-22007（CVSS 評分：5.5）——vCenter Server 本地信息泄露漏洞

CVE-2021-22019（CVSS 評分：5.3）——vCenter Server 拒絕服務漏洞

CVE-2021-22009（CVSS 評分：5.3）——vCenter Server VAPI 多重拒絕服務漏洞

CVE-2021-22010（CVSS 評分：5.3）——vCenter Server VPXD 拒絕服務漏洞

CVE-2021-22008（CVSS 評分：5.3）——vCenter Server 信息泄露漏洞

CVE-2021-22020（CVSS 評分：5.0）——vCenter Server Analytics 服務拒絕服務漏洞

CVE-2021-21993（CVSS 評分：4.3）——vCenter Server SSRF 漏洞

根據影響版本中的信息，排查并升級到安全版本，下載鏈接參考官方通告的References：

https://www.vmware.com/security/advisories/VMSA-2021-0020.html