آسیب پذیری خطرناک برروی محصول کمپانی VMware


این آسیب پذیری در سرویس OpenSLP این محصول وجود دارد. سرویس SLP بصورت پیشفرض برروی درگاه 427 فعالیت می کند. همچنین طبق شواهد این سرویس بصورت پیشفرض فعال است.

آسیب پذیری خطرناک برروی محصول کمپانی VMware با شماره CVE-2019-5544

این آسیب پذیری در سرویس OpenSLP این محصول وجود دارد. سرویس SLP بصورت پیشفرض برروی درگاه 427 فعالیت می کند. همچنین طبق شواهد این سرویس بصورت پیشفرض فعال است. آسیب پذیری مذکور امکان اجرای کد از راه دور را برای مهاجم، بدون نیاز به هیچ دسترسی، فراهم می کند. ضعف این آسیب پذیری از نوع Heap Buffer Overflow و با شماره CWE-122 می باشد و درجه CVSS آن برابر 9.8 می باشد.

هایپروایزر های ESXI در نسخه های 6.0 و 6.5 و 6.7 و همچنین سرویس Horizon DaaS 8.x ، آلوده به این آسیب پذیری می باشند.

روش برطرف سازی :

بهترین روش برای پیشگیری از رخ داد حمله سایبری از طریق این حفره امنیتی، بروز رسانی ESXi می باشد. شرکت VMware وصله امنیتی برای برطرف سازی آسیب پذیری ارائه داده است که در لینک زیر قابل دریافت است:

https://my.vmware.com/group/vmware/patch

همچنین می توانید سرویس SLP را بصورت موقتی متوقف نمایید. برای اینکار از دستور زیر استفاده کنید

/etc/init.d/slpd stop

  • درصورتی که سرویس SLP در حال استفاده توسط پروسسی باشد امکان متوقف سازی آن وجود ندارد. با اجرای این دستور می توانید وضعیت این سرویس را مشاهد کنید

esxcli system slp stats get     

با استفاده از دستور زیر می توانید سرویس SLP را هم غیر فعال کنید

esxcli network firewall ruleset set -r CIMSLP -e 0

برای اینکه تغییرات پس از reboot نیز پایدار بمانند از دستور زیر استفاده کنید

chkconfig slpd off

پویش در سطح ملی

پویش انجام شده که با استفاده از خروجی موتور جست جو تحلیل شد، تعداد 1452 دستگاه ESXi در کشور شناسایی شد که سرویس SLP برروی آن ها فعال است. در حال حاضر PoC جهت اثبات آسیب پذیر بودن آن ها وجود ندارد. فهرست آی پی ها به همراه اطلاعات whois و دامنه های مرتبط با آن ها ضمیمه این گزارش شده است.

بازگو شده از : مرکز ماهر

اخبار

ESXIHeap Buffer OverflowOpenSLPSLP

Leave a Reply

Your email address will not be published.