如何實現(xiàn)vmware vRealize 遠(yuǎn)程代碼執(zhí)行漏洞通告

這篇文章給大家介紹如何實現(xiàn)vmware vRealize 遠(yuǎn)程代碼執(zhí)行漏洞通告，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

0x00 漏洞背景

2020年02月22日， 360CERT監(jiān)測發(fā)現(xiàn) vmware 官方發(fā)布了編號為 VMSA-2020-0003 的安全更新。其中有一例嚴(yán)重漏洞, CVE 編號為 CVE-2020-3943。該漏洞出現(xiàn)在 vRealize 組件在實現(xiàn)和 Horizon 組件進(jìn)行協(xié)作的時候，該協(xié)作程序啟用了不安全的 JMX RMI 服務(wù)，進(jìn)而導(dǎo)致任意代碼執(zhí)行漏洞的出現(xiàn)。

VMware vRealize Suite 是專為混合云而構(gòu)建的云管理平臺。

VMware Horizon 是由 vmware 公司推出的一款針對Windows、Linux及Mac OS X，所開發(fā)的虛擬桌面軟件。

JMX（Java Management Extensions，即Java管理擴(kuò)展）是Java平臺上為應(yīng)用程序、設(shè)備、系統(tǒng)等植入管理功能的框架。JMX可以跨越一系列異構(gòu)操作系統(tǒng)平臺、系統(tǒng)體系結(jié)構(gòu)和網(wǎng)絡(luò)傳輸協(xié)議，靈活的開發(fā)無縫集成的系統(tǒng)、網(wǎng)絡(luò)和服務(wù)管理應(yīng)用。

0x01 風(fēng)險等級

360CERT對該漏洞進(jìn)行評定

360CERT建議廣大用戶及時更新 vRealize Operations for Horizon Adapter。做好資產(chǎn) 自查/自檢/預(yù)防 工作，以免遭受攻擊。

0x02 影響版本

vRealize Operations for Horizon Adapter <= 6.6.0

vRealize Operations for Horizon Adapter <= 6.7.0

0x03 修復(fù)建議

更新 vRealize Operations for Horizon Adapter 至

• 6.6.1

• 6.7.1

由于核心問題產(chǎn)生在 JMX RMI 服務(wù)上，用戶可以在針對Java運行時環(huán)境檢測 com.sun.management.jmxremote.port，并對相應(yīng)的端口通信進(jìn)行限制以緩解漏洞所帶來的影響。

關(guān)于如何實現(xiàn)vmware vRealize 遠(yuǎn)程代碼執(zhí)行漏洞通告就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。