КиберосноваSGRC

Уязвимости VMware: CVE, БДУ ФСТЭК и мониторинг

Уязвимости VMware из реестра БДУ ФСТЭК: 603 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

603уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости VMware из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 603.

BDU:2022-01507
Критический
10.0
KEV
EPSS 94%24ч

Уязвимость компонента Gateway Actuator библиотеки для создания API-шлюзов Spring Cloud Gateway, позволяющая нарушителю выполнить произвольный код

2022CVE-2022-22947
BDU:2021-04740
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость службы аналитики средства управления виртуальной инфраструктурой VMware vCenter Server, связанная с возможностью загрузки произвольного файла, позволяющая нарушителю выполнить произвольный

2021CVE-2021-22005
BDU:2022-02035
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость консоли администрирования VMware Identity Manager (vIDM), платформы администрирования приложений Workspace ONE Access, платформы виртуализации Cloud Foundation и программного средства управ

2022CVE-2022-22954
BDU:2021-01922
Высокий
7.5
KEV
EPSS 94%7дн

Уязвимость API-интерфейса инструмента мониторинга виртуальной инфраструктуры vRealize Operations, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

2021CVE-2021-21975
BDU:2021-02848
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость модуля Virtual SAN Health Check программного обеспечения для управления гипервизором VMware vSphere Client (HTML5) позволяющая нарушителю выполнить произвольные команды

2021CVE-2021-21985
BDU:2020-01603
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость службы каталогов VMware Directory Service (vmdir) средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю повысить свои привилегии

2020CVE-2020-3952
BDU:2021-05969
Критический
10.0
KEV
EPSS 94%24ч

Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-44228
BDU:2023-03101
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware Aria Operations, связанная с возможностью внедрения команд, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-20887
BDU:2022-06488
Высокий
8.5
KEV
EPSS 94%7дн

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю выполнить произвольный код с root-привилеги

2022CVE-2021-39144
BDU:2022-02319
Высокий
10.0
KEV
EPSS 94%24ч

Уязвимость платформы администрирования приложений VMware Workspace One, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю оказать воздействие на конфиденциальность и цел

2022CVE-2021-22054
Все 603 уязвимостей VMware в реестреПодключить мониторинг уязвимостей

Почему важно отслеживать уязвимости VMware

VMware ESXi и vCenter Server — основа виртуализации в корпоративных дата-центрах. Уязвимости гипервизора особенно опасны: компрометация ESXi даёт доступ ко всем виртуальным машинам на хосте. Среди CVE VMware в БДУ ФСТЭК — десятки с KEV-статусом: побег из VM (VM Escape), RCE через vCenter, обход аутентификации. После приобретения VMware компанией Broadcom ценовая политика изменилась, что ускоряет миграцию на альтернативы (ROSA Virtualization, oVirt). Мониторинг уязвимостей VMware критичен до завершения миграции.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Реестр БДУ ФСТЭК

Полный поиск по уязвимостям VMware

Калькулятор CVSS v4.0

Рассчитайте критичность уязвимости

Приказ ФСТЭК №117

SLA на устранение и требования к мониторингу

Модуль БДУ ФСТЭК

Автоматический мониторинг уязвимостей VMware в SGRC

Автоматизируйте мониторинг уязвимостей VMware

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.