一、概要

近日，華為云關(guān)注到VMware官方發(fā)布安全公告，披露VMware vRealize Operations 存在請求偽造和任意文件寫入漏洞（CVE-2021-21975，CVE-2021-21983）。

CVE-2021-21975：vRealize Operations Manager API中的服務(wù)器端請求偽造。通過網(wǎng)絡(luò)訪問vRealize Operations Manager API的惡意攻擊者可以執(zhí)行服務(wù)器端請求偽造攻擊，以竊取管理憑據(jù)。

CVE-2021-21983：vRealize Operations Manager API中的任意文件寫入。通過網(wǎng)絡(luò)訪問vRealize Operations Manager API的經(jīng)過身份驗(yàn)證的惡意攻擊者可以將文件寫入操作系統(tǒng)上的任意位置。

以上兩個(gè)漏洞結(jié)合使用可實(shí)現(xiàn)無需認(rèn)證執(zhí)行任意代碼。

華為云提醒使用VMware vRealize Operations的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：VMSA-2021-0004

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

vRealize Operations Manager 7.5.0、8.0.0、8.0.1、8.1.0、8.1.1、8.2.0、8.3.0

四、漏洞處置

目前官方已針對相應(yīng)的版本發(fā)布了修復(fù)補(bǔ)丁，請受影響的用戶及時(shí)升級補(bǔ)?。?/span>

vRealize Operations Manager 7.5.0、8.0.0、8.0.1、8.1.0、8.1.1、8.2.0、8.3.0

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。