VMware|盘点 | 2021年十大网络安全漏洞

VMware|盘点 | 2021年十大网络安全漏洞

漏洞与信息化进程相伴而生 , 为加强网络安全防护、避免漏洞所引发的威胁 , 漏洞管理成为重要IT策略 。 2021年 , 因漏洞导致的各类安全事件频发 , 涉及经济、民生的方方面面 , 提高安全意识已势在必行 。 以下为中科三方梳理的2021年十大网络安全漏洞 , 一起来看下吧 。

一、Apache Log4j2 远程代码执行漏洞【VMware|盘点 | 2021年十大网络安全漏洞】Apache Log4j2是一个基于Java的日志记录工具 , 该日志框架被大量用于业务系统开发 , 用来记录日志信息 。
Log4j2组件在处理程序日志记录时存在JNDI注入缺陷 , 攻击者仅仅需要向目标服务器发送精心构造的恶意数据触发Log4j2组件解析缺陷 , 就可以实现目标服务器任意命令执行 , 获取目标服务器权限 。
由于日志记录存在的普遍性 , 所以该漏洞具有危害程度高、利用难度低、影响范围大、后续影响广的特点 。 可以预见 , 未来数月甚至数年该漏洞才能得到比较全面的修补 。
漏洞涉及CVE编号:CVE-2021-44228
漏洞影响版本:Apache log4j2 2.0 至 2.14.1 版本
二、QNAP NAS Roon Server套件认证绕过、命令注入漏洞2021年6月11日 , CNCERT发布《关于威联通设备2项0Day漏洞组合利用攻击的报告——RoonServer权限认证漏洞与命令注入漏洞》 。 报告中详细介绍了权限绕过漏洞(CVE-2021-28810)和命令注入漏洞(CVE-2021-28811)相关的细节 , 并指出早在2021年5月8日就已经捕获在野利用攻击 。 在后续和厂商的沟通中 , QNAP官方于2021年6月4日重新发布修复后的应用 。
在对在野攻击行为分析后确定攻击者尝试植入的载荷为eCh0raix勒索软件 。 该勒索软件会加密NAS上存储的文件并要求受害者通过TOR支付比特币赎金 。
勒索软件通过NAS 0day传播不仅极具针对性且拥有极高的成功率 。 该漏洞不是第一个也不会是最后一个 。
漏洞涉及CVE编号:CVE-2021-28810、CVE-2021-28811
三、Microsoft Exchange高危攻击链2021年3月3日微软紧急发布了Exchange更新补丁 , 披露Exchange存在多个高危漏洞并且已被黑客作为攻击链的一部分进行利用 , 其中CVE-2021-26855通过服务器请求伪造绕过了Exchange Server身份验证 , 可以结合
CVE-2021-26858/CVE-2021-27065形成高危攻击链 。 相关漏洞详情如下:
CVE-2021-26855服务端请求伪造漏洞 , 可以绕过Exchange Server的身份验证 。

CVE-2021-26858/CVE-2021-27065任意文件写入漏洞 , 需要身份验证 。 可配合CVE-2021-26855形成无需交互的高危攻击链 。
漏洞涉及CVE编号:CVE-2021-26855、CVE-2021-26858、CVE-2021-27065
四、VMware vCenter Server未授权远程命令执行漏洞Vmware vCenter Server是ESXi的控制中心 , 可以从单一控制点统一管理数据中心的所有xSphere主机和虚拟机 。
2021年5月25日 , VMware官方发布安全公告 , 修复了VMware vCenter Server和VMware Cloud Foundation 远程代码执行漏洞(CVE-2021-21985)和身份验证漏洞(CVE-2021-21986) 。 其中 CVE-2021-21985漏洞攻击复杂度低 , 且不需要用户交互 , 攻击者可利用该漏洞在目标系统上执行任意命令 , 从而获得目标系统的管理权限 。
漏洞涉及CVE编号:CVE-2021-21985
漏洞影响版本:
Vmware vCenter Server 7.0 系列 < 7.0.U2b
Vmware vCenter Server 6.7系列 < 6.7.U3n
Vmware vCenter Server 6.5 系列 < 6.5.U3p
Vmware Cloud Foundation 4.x 系列 < 4.2.1
Vmware Cloud Foundation 3.x 系列 < 3.10.2.1
五、Zyxel NAS FTP 服务未授权远程命令执行漏洞Zyxel是国际知名品牌的网络宽带系统及解决方案的供应商 。