최근 랜섬웨어 관련 보안 이슈가 발생하였습니다.
VMware 홈페이지를 방문하면 vSphere 이슈 내용을 확인 할 수 있습니다.
1. 설명 :
VMware ESXi의 OpenSLP에서 발생하는 원격코드실행 취약점이 발견되었습니다.
아래 영향받는 제품 및 해결 버전입니다.
| 제품명 | 영향받는 버전 | 해결 버전 |
| ESXi | 6.5 (ESXi650-202102101-SG 이전 버전) | ESXi650-202102101-SG 이후 버전 |
| 6.7 (ESXi670-202102401-SG 이전 버전) | ESXi670-202102401-SG 이후 버전 | |
| 7.0 (ESXi70U1c-17325551 이전 버전) | ESXi70U1c-17325551 이후 버전 |
2. 기능 영향 :
1) 해결 방법을 사용하면 SLP를 사용하여 포트 427을 통해 CIM 서버를 찾는 CIM 클라이언트가 서비스를 찾을 수 없습니다.
2) SLP 서비스를 비활성화/활성화하기 위해 ESXi 호스트를 재부팅할 필요가 없습니다.
3. 조치 방안 :
[방법1] CLI로 SLP 서비스 비활성화
1) SSH 세션을 사용하여 ESXi 호스트에 로그인합니다.
2) 다음 명령을 사용하여 ESXi 호스트에서 SLP 서비스를 중지합니다.
/etc/init.d/slpd stop //slpd 종료
*SLP 서비스는 서비스를 사용하지 않을 때만 중지할 수 있습니다. Service Location Protocol Daemon의 작동 상태를 보려면 다음 명령을 사용하십시오.
esxcli system slp stats get
3) 다음 명령을 실행하여 SLP 서비스를 비활성화합니다.
esxcli network firewall ruleset set -r CIMSLP -e 0
4) 재부팅 후에도 이 변경 사항을 유지하려면
chkconfig slpd off
5) 재부팅 시 변경 사항이 적용되는지 확인하려면 다음을 수행하십시오.
chkconfig --list | grep slpd
[방법2] CLI로 SLP 서비스 활성화
1) SSH 세션을 사용하여 ESXi 호스트에 로그인합니다.
2) 다음 명령을 실행하여 SLP 서비스의 규칙 세트를 활성화합니다.
esxcli network firewall ruleset set -r CIMSLP -e 1
3) slpd 서비스의 현재 시작 정보를 변경하려면 다음 명령을 실행하십시오.
chkconfig slpd on
4) 위 단계(2단계#)를 실행한 후 변경 사항이 적용되었는지 확인하려면 다음 명령을 실행하십시오.
chkconfig --list | grep slpd
5) 다음 명령을 실행하여 SLP 서비스를 시작합니다.
/etc/init.d/slpd start
6) CIM 에이전트를 비활성화 및 활성화합니다.
[방법3] GUI로 SLP 서비스 활성화 / 비활성화 (최신 버전에서 가능)
1) ESXi 웹 접속 및 로그인을 합니다.
2) 호스트 -> 관리 -> 서비스 탭으로 이동합니다.
3) 항목 중 slpd 서비스를 클릭합니다.
4) 선택된 slpd 서비스를 시작 / 중지합니다.
[용어 설명]
- SLP (Service Location Protocol)은 컴퓨터 및 기타 장치가 사전 구성 없이 로컬 영역 네트워크(LAN)에서 서비스를 찾을 수 있도록 하는 서비스 검색 프로토콜입니다.
- CIM (Commeon Information Model)은 정보기술 환경에서 어떻게 관리 요소가 객체들의 일반적인 모임과 이들 사이의 관계로 대표되는지를 결정하는 오픈 표준이다. 이 모델은 제조업체나 제공업체와는 독립적으로 이러한 관리 요소를 꾸준하게 관리할 수 있도록 해 준다.
* ESXi에서 CIM 에이전트는 하드웨어 상태 정보를 제공하는 프로세스입니다. 이 서비스를 비활성화하면 하드웨어 상태에 보고된 일부 센서가 비활성화 됩니다.
댓글