VMware ESXi OpenSLP Remote Code Execution Vulnerability
6 Kasım 2020’de Microsoft’un Kevin Beaumont, VMware Esxi’nin hizmet konumu protokolü (SLP) hizmetindeki uzaktan kod yürütme (RCE) güvenlik açıkları olan CVE-2020-3992 ve/veya CVE-2019-5544’in aktif sömürü girişimlerinin kanıtlarına karşı toplumu uyardı. VMware, 20 Ekim 2020’de bu zayıflık için bir yama yayınladı, ancak yama bu güvenlik açığıyla etkili bir şekilde başa çıkamadı ve yama için bir güncelleme 4 Kasım 2020’de yayınlandı.
Bu ikinci yamayı uygulamayan ve bir yönetim ağının ötesinde maruz kalan VMware ESXi yönetim bağlantı noktalarına sahip olan herhangi bir kuruluş, Kevin’in sözleriyle “[r]ansomware grupları …tüm Windows işletim sistemi güvenliğini atlayın, …Vm’leri kapatın ve vmdk’yı doğrudan hipervizörde şifreleyin.”bunu etkili bir şekilde sanal veri merkezi çapında bir ransomware etkinliği haline getiriyor.
Daha fazla okumadan önce Rapid7, tüm VMware ESXi kullanıcılarına sistemlerine mümkün olan en kısa sürede ikinci bir yama uyguladıklarından emin olmalarını önerir. Mümkünse, lütfen bu ESXi güvenlik güncellemelerini uygulamak için tipik yama döngüsünüzü beklemeyin. Düzeltme eki mümkün değilse, aşağıdaki bölüm bir düzeltme eki uygulanana kadar Olası geçici çözümlere başvurur. Daha fazla analiz Attacker KB mevcuttur.
ESXi SLP güvenlik açığı bilgileri
VMware, aşağıdaki sürümlerin etkilendiğini belirtti:
ESXi 7.0
ESXi 6.7
ESXi 6.5
VMware Cloud Foundation (ESXi) 4.x
VMware Cloud Foundation (ESXi) 3.x
SLP hizmetini durdurma:
/etc/init.d/slpd stop
çalıştırdıktan sonra:
esxcli sistem SLP istatistikleri alın
hizmetin kullanılıp kullanılmadığını belirlemek için (durdurmak için sessiz olmalıdır).
Ardından, SLP hizmetini devre dışı bırakmak ve değişikliğin yeniden başlatıldığından emin olmak için aşağıdaki iki komutu çalıştırın:
esxcli network firewall ruleset set -r CIMSLP -e 0
chkconfig slpd off
Bu ayar çalıştırılarak doğrulanabilir:
chkconfig –list | grep slpd
KB makalesinde, hizmetin yeniden etkinleştirilmesi hakkında bilgi vardır.
ESXi yönetim ağınız yalıtılmış bir ağ segmentinde değilse, düzeltme ekini uygulamanız veya azaltma işlemini gerçekleştirmeniz gerekir.