[简版] 关于vSphere漏洞-OpenSLP

一、前言

近期vSphere OpenSLP漏洞在野利用的新闻频频被爆出来,大伙儿非常关注。由于vSphere虚拟化客户之广泛,很多朋友都表达了自己的焦虑,同时也会担心自己管理的vSphere虚拟化平台是否存在隐患。

二、什么是OpenSLP

  1. OpenSLP全称Open Service Location Protocol。根据OpenSLP官网描述: SLP项目是由IETF(互联网工程工作组)制定的标准。它提供了一个框架,以允许网络应用发现企业网络环境中网络服务的存在、位置、配置信息。而OpenSLP,其实就是SLP的一种开源实现。
    你知道吗?很多的设备都运行着OpenSLP协议,比如以下我们熟知的:
    • Linux
    • Windows
    • FreeBSD
    • Solaris
    • Mac OS X
    而SLP,在诸如惠普、施乐的网络打印机这样的设备中都存在着。
  2. vSphere里面运行的OpenSLP是做什么用的?
    vSphere(系统名ESXi)里面的SLP服务主要是用于让第三方管理工具或者客户端便于获取硬件信息(比如很多服务器厂商定制版本的vSphere里面,会运行CIM服务,用于获取硬件健康状态等等信息,这个服务就依赖SLP)。

三、关于此次爆出的漏洞

  1. OpenSLP漏洞其实早在2020年的时候就存在了(CVE-2020-3992),并不是一个新出现的漏洞。在当时,VMware就推出了相关的漏洞补丁,以及升级版本。(参考链接)。ESXi的版本升级和打补丁操作,这里就不详细提供了,建议大家在集群中通过配合vMotion,逐台进行升级,对于业务没有影响。
  2. 我们都知道,修复漏洞的最好方法就是打补丁、升级版本,但是很多朋友的场景,esxi可能已经过于老旧,或者因为某些原因导致不能升级。那要怎么去处理这个问题呢?
  3. 临时处理方案(除了会影响CIM获取硬件健康信息,对业务虚拟机没有影响):
    a. 通过vsphere的webclient或者vcenter webclient,开启ESXi主机的SSH服务。
    b. SSH远程到ESXi主机
    c. 执行下列命令:
#关闭slpd服务进程,注意slpd服务只有在未使用的时候才能停止
/etc/init.d/slpd stop
#禁用slpd服务
esxcli network firewall ruleset set -r CIMSLP -e 0
#设置开机服务禁用
chkconfig slpd off
#检查slpd运行状态
/etc/init.d/slpd status
#检查确保重启后slpd还是禁用的
chkconfig --list | greg slpd
#预期输出:slpd off

#如果使用的是服务器定制vSphere,还可以顺带把CIM服务关了(因为这个服务依赖slpd)
/etc/init.d/sfcbd-watchdog stop
#检查服务运行状态
/etc/inst.d/sfcbd-watchdog status
#设置开机服务禁用
chkconfig sfcbd-watchdog off
#检查是否开机禁用
chkconfig sfcbd-watchdog
#预期输出: sfcbd-watchdog off

#以上服务开启,和上述操作相反即可
stop ---> start
off  ---> on
set xxx -e 0 ---> set xxx -e 1

操作完成后,非必要就把ESXi 的SSH服务关掉吧。

四、建议

  1. 订阅VMware安全报告
    a. 网址:https://www.vmware.com/security/advisories.html
    b. 操作:点击网页中间的RSS Feed,或者"Sign up for Security Advisories",根据页面提示填写接收邮箱即可。
  2. 关于安全:
    a. 管理网络分离规划:管理网络和业务网络一定要分开,不要混用;
    b. 管理网络访问控制:不要允许办公用户网段等非管理员网络访问vSphere管理网络;
    c. 正确使用堡垒机:上面这条实现之后,很多时候管理员进行管理就会变得麻烦。别怕,可以更麻烦些–架设堡垒机,仅允许堡垒机访问管理网络;
    d. 不管是VMware、Windows、还是Linux,安全补丁能打则打,不能打的要积极关注官方动态查看是否有临时解决方案。
    e. 网络安全切勿掉以轻心!!!这都2023年了!!!
  3. 关于数据:
    a. 数据安全第一!!!备份一定要做!!!备份一定要能够还原的那种!!!

官方参考文档:
https://kb.vmware.com/s/article/76372
https://kb.vmware.com/s/article/1025757

你可能感兴趣的:(VMware,运维,安全,网络安全)