概述

2021年2月23日，VMware 发布了一份安全通告 (VMSA-2021-0002)，解决了 vCenter Server中的两个漏洞，以及 VMWare ESXi 超管中的一个漏洞。

影响

此通告中披露的最显著漏洞是CVE-2021-21972。 

vSphere 客户端 (HTML5) 在vCenter Server 插件中包含 远程代码执行 漏洞。 在具有网络访问443端口的恶意行为者可能通过此问题来执行命令，具有托管vCenter Server的操作系统上的不受限制的权限。 这影响到 VMware vCenter Server (7.x 到7.0 U1c之前，6.7 到6.7 U3l之前和 6.5 到6.5 U3n之前) 和 VMware Cloud Foundation (4.x 到4.2之前和 3.x 到 3.10.1.2 之前)。

解析

为了保护我们的客户，Cato 已在全球范围内部署了一组 入侵防御系统 (IPS) 签名，以缓解此漏洞的 威胁。 如果您已启用 Cato IPS，则无需用户交互 (或打补丁) 即可防止此漏洞利用。

如果识别出符合CVE-2021-21972签名配置文件的恶意流量，则流量将被阻止，并在 Cato 管理应用程序 的 事件发现 窗口中生成证据记录。