VMSA-2021-0002 vCenter&ESX-i Security

Virtualization

Merhaba, VMware vCenter ve ESX-i hostları etkileyen yeni güvenlik açıklarını duyurdu. CVSSv3 skoru vCenter 9.8 critical ve ESX-i 8.8 important gibi yüksek skorlarda olduğundan alınması gereken önlemleri anlatacağım.

Etkilenen sistemlerin response matrix’i aşağıdaki gibidir.

ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
vCenter Server7.0AnyCVE-2021-219729.8Critical 7.0 U1cKB82374None
vCenter Server6.7AnyCVE-2021-219729.8Critical 6.7 U3lKB82374None
vCenter Server6.5AnyCVE-2021-219729.8Critical 6.5 U3nKB82374None
ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
Cloud Foundation (vCenter Server)4.xAnyCVE-2021-219729.8Critical 4.2KB82374None
Cloud Foundation (vCenter Server)3.xAnyCVE-2021-219729.8Critical 3.10.1.2KB82374None
ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
[1] ESXi7.0AnyCVE-2021-219748.8Important ESXi70U1c-17325551KB76372None
[1] ESXi6.7AnyCVE-2021-219748.8Important ESXi670-202102401-SGKB76372None
[1] ESXi6.5AnyCVE-2021-219748.8Important ESXi650-202102101-SGKB76372None
ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
[1] Cloud Foundation (ESXi)4.xAnyCVE-2021-219748.8Important 4.2KB76372None
[1] Cloud Foundation (ESXi)3.xAnyCVE-2021-219748.8Important [2] KB82705KB76372None

vCenter için yapılacak çözüm önerisi:

Fonksiyonel etkisi: vRops appliance’ı otomatik olarak kurma ve yapılandırma seçeneği devre dışı kalacaktır. Ayrıca widget’ları görüntüleme problemi oluşmaktadır.

Geçici çözüm:

  1. SSH ile vCSA (vCenter) sunucusuna bağlanalım.
  2. Dosya dizinine gidelim ve yedeğini alalım.
    /etc/vmware/vsphere-ui/compatibility-matrix.xml
  3. Bu dosyanın içeriği aşağıdaki gibidir.
Resim-1

4. Bu dosyaya aşağıdaki satırı ekleyelim.
<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

5. Resimdeki gibi gözükecektir.

Resim-2

6. vsphere-ui service’i restart edelim.
 service-control –restart vsphere-ui

7. Tarayıcıdan https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister. adresine girelim.404 not found hatası verecektir.

8. vCenter client plugins sekmesinde vRops client plugins incompatible olduğunu görebiliriz.

Resim-4

9. Windows tabanlı vCenter sunucularında C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui\compatibility-matrix.xml bulunan xml dosyasına aşağıdaki satırı eklememiz gerekiyor.<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

10. Bu işlemleri geri almak için aşağıdaki satırı kaldırıp vCenter arayüz servisini tekrar çalıştırmanız yeterlidir.
<PluginPackage id=”com.vmware.vrops.install” status=”incompatible”/>

ESX-i hostlar için yapılacak çözüm önerisi:

Fonksiyonel etkisi: SLP kullanan CIM client’lar 427 portundan CIM sunuculara erişemeyecekler. CIM (Common Information Model) detaylı bilgi için tıklayınız.

Geçici çözüm:

  1. ESX-i hostumuza ssh yapıp SLP servisini durduralım.
    /etc/init.d/slpd stop
  2. SLP servisi kullanımda değil ise durdurabilirsiniz. Kontrol için şu komutu çalıştırabilirsiniz.
    esxcli system slp stats get
  3. Aşağıdaki komutu yazarak SLP servisi disable edelim.
    esxcli network firewall ruleset set -r CIMSLP -e 0
  4. Yapılan değişikliğin hostların reboot edildiği zaman kalıcı olması için aşağıdaki komutları yazalım.
    chkconfig slpd off
    chkconfig –list | grep slpd
  5. Yapılan değişikliklerin geri alınması için aşağıdaki komutları sırasıyla çalıştırabilirsiniz.
    esxcli network firewall ruleset set -r CIMSLP -e 1
    chkconfig slpd on
    chkconfig –list | grep slpd
    /etc/init.d/slpd start

Bu yazıda yararlandığım VMware kb linkleri 1 2

Umarım faydalı bir yazı olmuştur 🙂

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir