據報道，安全公司Positive Technologies表示，全球超過6000個VMware vCenter設備可以通過互聯網訪問，其中包含一個關鍵的遠程代碼執行漏洞。目前，VMware已經發布了修補該漏洞的方法建議。

　　據悉，該漏洞名為CVE-2021-21972，如果被利用，它可使黑客能夠執行任意命令，危及vCenter服務器，并可能獲得訪問敏感數據的權限。

　　該漏洞是在vSphere Client （HTML5）中發現的，這是VMware vCenter的一個插件，通常作為一個管理接口訪問安裝在大型企業網絡工作站上的VMware主機。該界面允許管理員創建和管理虛擬機以及主機資源。

　　Positive Technologies研究人員Mikhail Klyuchnikov說，通過利用這個漏洞，未經授權的用戶可以發送一個經過特別設計的請求，最終得以在服務器上執行任意命令。

　　Klyuchnikov說：“在獲得了這樣的機會之后，攻擊者就可以發起這種攻擊，成功地穿越公司網絡，并訪問存儲在被攻擊系統中的數據（例如有關虛擬機和系統用戶的信息）。如果可以從互聯網訪問易受攻擊的軟件，則將使外部攻擊者能夠侵入公司的外部范圍并訪問敏感數據。這個漏洞是危險的，因為它可以被任何未經授權的用戶使用。”

　　安全公司KnowBe4的安全意識倡導者Javvad Malik說，組織應優先考慮修補任何VMware vCenter設備。

　　Positive Technologies公司表示，在全世界6000多臺VMware vCenter設備中，26%位于美國，其余位于德國、法國、中國、英國、加拿大、俄羅斯、中國臺灣、伊朗和意大利。

　　然而安全公司的研究人員報告，利用這個漏洞的主要威脅來自內部人士或其他人士，他們使用如社交工程或Web漏洞等方法穿透了網絡邊界的保護，從而可以訪問內部網絡。

　　2020年8月，Positive Technologies發表了關于外部滲透測試的研究報告，并成功進入網絡邊界，獲得93%的公司的本地網絡資源。

　　研究人員指出：“盡管90%以上的VMware vCenter設備完全位于外圍，但根據Positive Technologies analytics的估計，其中一些設備可以進行遠程訪問。”

　　此外，Positive Technologies還發現了一個VMware vCenter Server漏洞CVE-2021-21973，該漏洞允許未經授權的用戶向vCenter Server插件發送POST請求，導致信息泄露。這可以促使黑客進行進一步的攻擊，使他們能夠掃描公司的內部網絡，并獲得有關各種服務的開放端口的信息。

　　Positive Technologies建議從VMware安裝更新，并從組織范圍內刪除vCenter Server接口，將其分配到內部網絡中具有受限訪問列表的單獨VLAN。

　　安全公司Synopsys的高級安全工程師鮑里斯·西波特指出：“即使像VMware這樣的公司確保向其客戶提供安全的軟件，該版本發布后仍可能會出現安全漏洞。”

　　早前，Positive Technologies的研究員Egor Dimitrenko在VMware vSphere Replication tool中發現了一個嚴重漏洞。如果該漏洞被利用，攻擊者就可以訪問該工具的管理web界面，以最大權限在服務器上執行任意代碼，并在網絡上開始橫向移動，以奪取對公司基礎設施的控制。