VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)勒索事件

这篇具有很好参考价值的文章主要介绍了VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)勒索事件。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

事件说明

据BleepingComputer 2月3日消息,法国计算机紧急响应小组(CERT-FR) 近日发出警告,攻击者正通过一个远程代码执行漏洞,对全球多地未打补丁的 VMware ESXi 服务器部署新型ESXiArgs 勒索软件。

VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)勒索事件

据悉,该漏洞编号为CVE-2021-21974,由 OpenSLP 服务中的堆溢出问题引起,未经身份验证的攻击者可以此进行低复杂度攻击。该漏洞主要影响6.x 版和 6.7 版本之前的 ESXi 管理程序,2021年2月23日 ,VMware曾发布补丁修复了该漏洞。对于还未打补丁的服务器,须在管理程序上禁用易受攻击的服务定位协议 (SLP) 服务。

流量特征与检测

之前的文章分析了漏洞点 在 “目录代理通告“ 数据包中,结构如下所示

VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)勒索事件

而代码对URL中的:/进行查找切分,但是URL的结束符是按照\x00判断的。

VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)勒索事件

当后面的 Scope list length 值大于256时,前面一字节的值就不为\x00 导致URL字符串未判断结束,对:/的查找会一直继续到Scope list的值里面,下图上面部分是正常情况Scope list length小于256时为00xx,大于256时就是xxxx,对URL的查找会一直进行下去,导致堆溢出

VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)勒索事件

流量特征如下,前面部分是指定SLP数据的类型为DA Advertisement和一些头部信息

VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)勒索事件

下面的URL不存在:/ ,而且Scope List length大于了256,导致对URL的:/查找会继续到Scope list里面,最终导致堆溢出

知道了成因和对应特征,所以在流量测的简单检测可以对 SRVLOC协议数据中DA Advertisement调用的Scope List length字段判断大小是否大于256,同时URL不包含:/字符,同时Scope list 数据存在:/字符

官方修复建议

当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

其中各受影响版本升级到对应的修复版本:

ESXi7.0版本:升级到ESXi70U1c-17325551

ESXi6.7版本:升级到ESXi670-202102401-SG

ESXi6.5版本:升级到ESXi650-202102101-SG

Cloud Foundation 4.x版本:升级到4.2

Cloud Foundation 3.x版本:升级到3.10.1.2

临时修复建议

该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:

使用以下命令在ESXi主机上停止SLP服务:

/etc/init.d/slpd stop

运行以下命令以禁用SLP服务且重启系统仍然生效:

esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off

运行此命令检查禁用SLP服务成功:

chkconfig --list | grep slpd

若输出slpd off则禁用成功。文章来源地址https://www.toymoban.com/news/detail-444046.html

到了这里,关于VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)勒索事件的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Nftables栈溢出漏洞(CVE-2022-1015)复现

    背景介绍 Nftables 是一个基于内核的包过滤框架,用于 Linux操作系统中的网络安全和防火墙功能。nftables的设计目标是提供一种更简单、更灵活和更高效的方式来管理网络数据包的流量。 钩子点的作用是拦截数据包,然后对数据包进行修改,比较,丢弃和放行等操作。 Nftable

    2024年02月12日
    浏览(42)
  • 从CVE复现看栈溢出漏洞利用

    最近复现了两个栈溢出漏洞的cve,分别是CVE-2017-9430和CVE-2017-13089,简单记录一下real wrold中的栈溢出漏洞学习。目前,栈溢出漏洞主要出现在iot固件中,linux下的已经很少了,所以这两个洞都是17年,比较早,但还是能学到一些东西。 dnstracer 1.9 及之前版本中基于堆栈的缓冲区

    2024年04月12日
    浏览(36)
  • CVE-2021-4034漏洞原理解析

    本篇文章主要叙述CVE-2021-4034漏洞,该漏洞影响的linux发行版众多,例如:Ubuntu、CentOS、Debian等等,该漏洞为Linux系统本地提权漏洞,利用脚本已经公开,利用简单且稳定,脚本地址:Github 当攻击者获取目标系统普通用户权限时,利用该脚本即可直接获得root权限,该漏洞的主要

    2023年04月12日
    浏览(41)
  • 漏洞修复--OpenSSH权限提升漏洞(CVE-2021-41617)

    官方已发布安全版本修复漏洞,腾讯安全专家建议受影响的用户请尽快更新至安全版本。 安全版本:OpenSSH 8.8 用户可根据所使用的发行版本,升级修复。 查看OpenSSH版本:rpm -qa | grep openssh 升级OpenSSL版本:yum -y install openssh centos7 用户,建议升级到如下版本:openssh-7.4p1-22.el7

    2024年02月15日
    浏览(39)
  • Weblogic漏洞 CVE-2021-2109 处理

    好记忆不如烂笔头,能记下点东西,就记下点,有时间拿出来看看,也会发觉不一样的感受. 目录 一、前言 二、影响版本 三、漏洞查阅 四、漏洞修复 4.1 补丁包下载  4.2 安装补丁包  4.3 具体操作 oracl 早就发布了weblogic的漏洞信息,但是因为各种原因没有及时处理(内网环境

    2024年02月04日
    浏览(43)
  • Nacos认证绕过漏洞(CVE-2021-29441)

    指纹识别 漏洞范围 nacos1.2.0版本-nacos1.4.0版本 漏洞复现 靶机ip:192.168.1.4 默认的nacos登录界面 利用如下请求包查看只有一个nacos用户 用如下请求包添加用户 再次查看我们的用户增加了tpaer用户 用新用户登录进行验证,成功未授权访问绕过验证 漏洞原理 官方给出的文档描述 开

    2024年02月07日
    浏览(38)
  • openssl升级解决CVE-2021-3711漏洞

    查看当前openssl版本 从官网下载最新版: https://www.openssl.org/source/ 开始备份+编译安装 备份 安装 开始替换 验证

    2024年02月11日
    浏览(44)
  • [漏洞修复]Docker runc容器逃逸漏洞(CVE-2021-30465)

    2021年5月31日,阿里云应急响应中心监测到国外安全研究人员披露 CVE-2021-30465 runc 符号链接挂载与容器逃逸漏洞。 针对该漏洞的整改过程。 runc是一个轻量级通用容器运行环境,它允许一个简化的探针到运行和调试的底层容器的功能,不需要整个docker守护进程的接口。 runc存在

    2024年02月12日
    浏览(40)
  • CVE-2023-5129 libwebp堆缓冲区溢出漏洞影响分析

    近日苹果、谷歌、Mozilla和微软等公司积极修复了libwebp组件中的缓冲区溢出漏洞,相关时间线如下: 9月7日,苹果发布紧急更新,修复了此前由多伦多大学公民实验室报告的iMessage 0-click 漏洞,漏洞被认为已经被NSO公司的Pegasus间谍软件所利用,漏洞编号CVE-2023-41064; 9月8日,

    2024年02月08日
    浏览(36)
  • GoAhead远程命令执行漏洞(CVE-2021-42342)

    目录 GoAhead远程命令执行漏洞(CVE-2021-42342) 漏洞描述 漏洞复现 启动环境 复现漏洞 漏洞主要是由于上传过滤器没有设置不受信任的var位绕过CGI处理程序的前缀检测,渗透人员可以利用这个漏洞在未授权的情况下,构造恶意程序数据执行远程命令执行攻击,进而获得服务器的最

    2024年02月09日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包