VMware ESXi kritik güvenlik açığı
2019 Tianfu Cup Pwn yarışmasında 360Vulcan takımının bulmuş olduğu ESXi ve Horizon DaaS ürünlerini etkileyen açık, bugün kritik sınıfında VMSA-2019-0022 numarasıyla yayınlandı.
Etkilenen ürünler,
VMware ESXi 6.0, 6.5, 6.7
VMware Horizon DaaS 8.x
CVE > CVE-2019-5544
CVSSV3 puanı > 9.8 (Kritik)
İlgili güvenlik açığının 427 portu üzerinden OpenSLP servisinini kullanarak kod yürütmeye olanak sağladığı bildirilmiş.
Şu an için bu açığı kapatacak bir fix bulunmuyor, VMware sadece ESXi için geçici çözüm olarak ESXi üzerindeki yerleşik firewalldan SLP(Service Location Protocol) servisinin erişiminin kapatılmasını öneriyor.
Bu erişim kapatıldığında 427 portu üzerinden sunulan sistem bilgisi de çalışmayacak. Bu değişikliği yapmadan önce ortamınız üzerinde 427 portu üzerinden sunuculan sistem bilgisini kullanan üçüncü taraf uygulamalar veya servisler var ise mutlaka kontrol etmeniz gerekiyor.
ESXi için geçici çözüm
Çözüm için ESXi hostlarınızın shell ekranında aşağıdaki işlemleri yapmanız gerekiyor.
SLP servisinin mevcut durumunu görmek için;
esxcli system slp stats get
SLP servis erişimini firewall üzerinden devre dışı bırakmak için;
esxcli network firewall ruleset set -r CIMSLP -e 0
Hostunuz yeniden başladığında servisin otomatik olarak yeniden başlamasına engel olmak için;
chkconfig slpd off
SLP servisini durdurmak için;
/etc/init.d/slpd stop
Yukarıdaki geçici çözümün etkilenen tüm ESXi hostlarınızda yapılması gerekiyor.
Belirtilen çözüm geçici olduğu için bu konuda bir düzeltme yayınlandığında yaptığınız değişiklikleri geri almanız gerekebilir. Bunun için aşağıdaki komutları çalıştırabilirsiniz.
SLP servisinin firewall erişimini yeniden açmak için;
esxcli network firewall ruleset set -r CIMSLP -e 1
Hostunu yeniden başladığında servisin de otomatik olarak başlaması için;
chkconfig slpd on
SLP servisini başlatmak için;
/etc/init.d/slpd start
Bilgilerinize, iyi çalışmalar.