一、漏洞详情
vmware esxi是美国威睿公司推出的一款虚拟机管理软件,用以创建运行虚拟机和虚拟设备。
近期以vmware esxi服务器为目标的大规模勒索软件攻击正在席卷全球,包括法国、芬兰、加拿大、美国、意大利等多个国家数千台服务器遭到入侵。攻击者利用了2021年2月公开的高危漏洞(cnvd-2021-12321,https://www.cnvd.org.cn/flaw/show/cnvd-2021-12321),该漏洞详情如下:攻击者可以向wmware esxi软件目标服务器427端口发送恶意构造的数据包,从而触发其openslp服务堆缓冲区溢出,并执行任意代码。
目前,vmware官方已发布补丁修复此漏洞,建议用户尽快升级至最新版本:
https://www.vmware.com/security/advisories/vmsa-2021-0002.html。
二、影响范围
vmware esxi70u1c-17325551 7.0版本
vmware esxi670-202102401-sg 6.7版本
vmware esxi650-202102101-sg 6.5版本
三、临时防护措施
1、查看slp服务状态
/etc/init.d/slpd status (如果是slpd is running,表示该服务正常运行中)
2、停止slp服务
/etc/init.d/slpd stop
3、禁用slp服务
esxcli network firewall ruleset set -r cimslp -e 0
4、查看slp是否设置了开机自启动
chkconfig --list | grep slpd
5、如果slpd服务为on,则执行以下命令关闭自启动
chkconfig slpd off
