КиберосноваSGRC

Уязвимости VMware: CVE, БДУ ФСТЭК и мониторинг

Уязвимости VMware из реестра БДУ ФСТЭК: 538 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

538уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости VMware из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 538.

BDU:2021-04740
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость службы аналитики средства управления виртуальной инфраструктурой VMware vCenter Server, связанная с возможностью загрузки произвольного файла, позволяющая нарушителю выполнить произвольный

2021CVE-2021-22005
BDU:2022-02035
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость консоли администрирования VMware Identity Manager (vIDM), платформы администрирования приложений Workspace ONE Access, платформы виртуализации Cloud Foundation и программного средства управ

2022CVE-2022-22954
BDU:2021-01922
Высокий
7.5
KEV
EPSS 94%7дн

Уязвимость API-интерфейса инструмента мониторинга виртуальной инфраструктуры vRealize Operations, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

2021CVE-2021-21975
BDU:2021-02848
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость модуля Virtual SAN Health Check программного обеспечения для управления гипервизором VMware vSphere Client (HTML5) позволяющая нарушителю выполнить произвольные команды

2021CVE-2021-21985
BDU:2021-05969
Критический
10.0
KEV
EPSS 94%24ч

Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-44228
BDU:2020-01603
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость службы каталогов VMware Directory Service (vmdir) средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю повысить свои привилегии

2020CVE-2020-3952
BDU:2023-03101
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware Aria Operations, связанная с возможностью внедрения команд, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-20887
BDU:2022-06488
Высокий
8.5
KEV
EPSS 94%7дн

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю выполнить произвольный код с root-привилеги

2022CVE-2021-39144
BDU:2021-00990
Критический
9.8
KEV
EPSS 94%24ч

Уязвимость плагина vSphere Client средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-21972
BDU:2023-07140
Критический
9.8
KEV
EPSS 93%24ч

Уязвимость реализации протокола DCERPC программного обеспечения управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-34048
Все 538 уязвимостей VMware в реестреПодключить мониторинг уязвимостей

Почему важно отслеживать уязвимости VMware

VMware ESXi и vCenter Server — основа виртуализации в корпоративных дата-центрах. Уязвимости гипервизора особенно опасны: компрометация ESXi даёт доступ ко всем виртуальным машинам на хосте. Среди CVE VMware в БДУ ФСТЭК — десятки с KEV-статусом: побег из VM (VM Escape), RCE через vCenter, обход аутентификации. После приобретения VMware компанией Broadcom ценовая политика изменилась, что ускоряет миграцию на альтернативы (ROSA Virtualization, oVirt). Мониторинг уязвимостей VMware критичен до завершения миграции.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Реестр БДУ ФСТЭК

Полный поиск по уязвимостям VMware

Калькулятор CVSS v4.0

Рассчитайте критичность уязвимости

Приказ ФСТЭК №117

SLA на устранение и требования к мониторингу

Модуль БДУ ФСТЭК

Автоматический мониторинг уязвимостей VMware в SGRC

Автоматизируйте мониторинг уязвимостей VMware

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.

Уязвимости VMware — CVE и БДУ ФСТЭК | КиберОснова