VMwarevRealize平台高危漏洞安全公告

2021年3月31日，360CERT监控到了VMware发布的关于vRealize平台的安全更新通知，涉及的漏洞编号为CVE-2021-21975和CVE-2021-21983，均被评为高危级别，CVSS评分为8.6。

vRealize Operations 是一款基于AI技术的IT运维管理解决方案，适用于私有云、混合云和多云环境。此次更新主要解决了两个关键问题：服务器端请求伪造（SSRF）和任意文件上传漏洞。这两个漏洞可以协同作用，使攻击者在无需身份验证的情况下实现远程代码执行。

鉴于此，360CERT强烈建议所有使用vRealize产品的用户立即升级至最新版本，并进行全面的安全检查，以防被恶意利用。

风险评估

根据360CERT的专业评估，这些漏洞的具体风险特征如下：

漏洞详述

CVE-2021-21975: 服务器端请求伪造漏洞

• CVE 编号：CVE-2021-21975
• 受影响组件：cloud_foundation, vrealize_suite_lifecycle_manager, vrealize_operations_manager
• 漏洞性质：服务器端请求伪造（SSRF）
• 潜在危害：可能被用于窃取管理员身份信息或绕过权限控制

CVE-2021-21983: 任意文件上传漏洞

• CVE 编号：CVE-2021-21983
• 受影响组件：vrealize_suite_lifecycle_manager, cloud_foundation, vrealize_operations_manager
• 漏洞性质：文件上传
• 潜在危害：可能导致远程代码执行或资源滥用

受影响版本

• vmware:vrealize_operations_manager: 8.0.0, 8.0.1, 8.1.0, 8.1.1, 8.2.0, 7.5.0
• vmware:cloud_foundation: 4.x, 3.x
• vmware:vrealize_suite_lifecycle_manager: 8.x

修复建议

通用修复方案

建议用户遵循官方提供的修复指南进行操作，具体步骤包括：

1. 在线用户可通过管理界面直接接收并安装更新。
2. 离线用户应访问VMware官方网站下载最新的更新包。

网络空间测绘数据

360安全大脑-Quake网络空间测绘系统显示，vRealize在全球的分布情况如下图所示：

产品解决方案

360城市级网络安全监测服务

360CERT的安全专家利用Quake资产测绘平台对相关漏洞进行了全面监测，提供了详细的数据支持。有需要的用户可以通过联系产品区域负责人或发送邮件至quake#360.cn获取更多信息。

360安全分析响应平台

该平台采用先进的网络流量检测技术和多源数据融合分析方法，能够有效识别并阻止此类漏洞的利用行为。用户可通过联系产品区域负责人或发送邮件至shaoyulong#360.cn获得相关产品支持。

时间轴

• 2021-03-30：VMware发布安全更新
• 2021-03-31：360CERT发布安全通告

参考资料

• VMSA-2021-0004

特制报告下载链接

为了更好地服务于政企客户，360CERT现提供定制化的安全通告报告下载服务。用户可通过以下链接下载报告：

VMware vRealize SSRF、任意文件上传漏洞风险通告

如有订阅需求或定制化要求，请发送邮件至g-cert-report#360.cn，并提供公司名称、联系人姓名、电话号码、所在地区及电子邮箱地址。