【摘要】Log4j2漏洞影响到VMware旗下多款产品,奇安信技术研究院第一时间对相关产品漏洞进行了复现,并对网络资产暴露面进行了评估。Log4j2漏洞基于供应链已蔓延影响至虚拟化等网络基础设施,厂商和用户需密切关注。
- 事件背景
Apache Log4j2漏洞事件进一步发酵,诸多重要产品、组件相继受其影响。VMware厂商于12月11日在其官网发布安全公告,其下属主流产品VMware Horizon、VMware vCenter Server、VMware HCX等均受Log4j2漏洞影响,危害评级均为“危急(Critical)”。作为虚拟化基础设施,相关威胁影响极大。
VMware官方漏洞公告
Log4j作为日志组件,位于软件供应关系的较底层。因此供应链对此漏洞的放大效应将逐渐显现,相关厂商、用户需密切关注其威胁发展情况。
奇安信开源卫士评估数万组件依赖于Log4j2
- 漏洞信息
奇安信技术研究院安全研究员第一时间对受Log4j漏洞影响的VMware产品进行了验证,在VMware vCenter等产品中发现并验证了多条未授权远程攻击链,攻击者可以发起未授权的远程代码执行。
因VMware vCenter系统环境中所使用的Log4j库版本较低,因此受当前漏洞影响。在其软件实现中进行了多处Log4j相关问题接口的调用,暴露出较多的攻击面和脆弱接口,特别是在未授权的接口中也存在此类问题,并且其进程权限为最高权限root。这可使攻击者在未授权的情况下直接远程获取系统最高权限。
图1 在VMware vCenter中验证漏洞
- 漏洞资产分布
奇安信司南系统根据近期资产测绘的结果来看,国内近一周内VMware相关资产超6000个,主要分布如图所示:
- 缓解措施
目前VMware官方尚未发布正式补丁,给出了针对相关版本(7.0.x,6.7.x,6.5.x)的临时缓解方案:
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
- 受影响的产品列表
· VMware Horizon
· VMware vCenter Server
· VMware HCX
· VMware NSX-T Data Center
· VMware Unified Access Gateway
· VMware WorkspaceOne Access
· VMware Identity Manager
· VMware vRealize Operations
· VMware vRealize Operations Cloud Proxy
· VMware vRealize Log Insight
· VMware vRealize Automation
· VMware vRealize Lifecycle Manager
· VMware Telco Cloud Automation
· VMware Site Recovery Manager
· VMware Carbon Black Cloud Workload Appliance
· VMware Carbon Black EDR Server
· VMware Tanzu GemFire
· VMware Tanzu Greenplum
· VMware Tanzu Operations Manager
· VMware Tanzu Application Service for VMs
· VMware Tanzu Kubernetes Grid Integrated Edition
· VMware Tanzu Observability by Wavefront Nozzle
· Healthwatch for Tanzu Application Service
· Spring Cloud Services for VMware Tanzu
· Spring Cloud Gateway for VMware Tanzu
· Spring Cloud Gateway for Kubernetes
· API Portal for VMware Tanzu
· Single Sign-On for VMware Tanzu Application Service
· App Metrics
· VMware vCenter Cloud Gateway
· VMware Tanzu SQL with MySQL for VMs
· VMware vRealize Orchestrator
· VMware Cloud Foundation