КиберосноваSGRC

Уязвимости VMware: CVE, БДУ ФСТЭК и мониторинг

Уязвимости VMware из реестра БДУ ФСТЭК: 541 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

541уязвимостей в БДУ
Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости VMware из БДУ ФСТЭК

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 541.

BDU:2021-05969
Критический
10.0
KEV
EPSS 100%24ч

Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-44228
BDU:2022-02035
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость консоли администрирования VMware Identity Manager (vIDM), платформы администрирования приложений Workspace ONE Access, платформы виртуализации Cloud Foundation и программного средства управ

2022CVE-2022-22954
BDU:2021-04740
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость службы аналитики средства управления виртуальной инфраструктурой VMware vCenter Server, связанная с возможностью загрузки произвольного файла, позволяющая нарушителю выполнить произвольный

2021CVE-2021-22005
BDU:2021-02848
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость модуля Virtual SAN Health Check программного обеспечения для управления гипервизором VMware vSphere Client (HTML5) позволяющая нарушителю выполнить произвольные команды

2021CVE-2021-21985
BDU:2021-00990
Критический
9.8
KEV
EPSS 100%24ч

Уязвимость плагина vSphere Client средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю выполнить произвольный код

2021CVE-2021-21972
BDU:2023-07140
Критический
9.8
KEV
EPSS 99%24ч

Уязвимость реализации протокола DCERPC программного обеспечения управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-34048
BDU:2023-03101
Критический
9.8
KEV
EPSS 98%24ч

Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware Aria Operations, связанная с возможностью внедрения команд, позволяющая нарушителю выполнить произвольный код

2023CVE-2023-20887
BDU:2022-06488
Высокий
8.5
KEV
EPSS 98%7дн

Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю выполнить произвольный код с root-привилеги

2022CVE-2021-39144
BDU:2020-03338
Критический
9.8
KEV
EPSS 97%24ч

Уязвимость пакета openslp гипервизора VMware ESXi платформы виртуальных компьютеров Horizon DaaS, позволяющая нарушителю оказать воздействие на конфиенциальность, целостность и доступность защищаемой

2020CVE-2019-5544
BDU:2020-01603
Критический
9.8
KEV
EPSS 90%24ч

Уязвимость службы каталогов VMware Directory Service (vmdir) средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю повысить свои привилегии

2020CVE-2020-3952

Почему важно отслеживать уязвимости VMware

VMware ESXi и vCenter Server — основа виртуализации в корпоративных дата-центрах. Уязвимости гипервизора особенно опасны: компрометация ESXi даёт доступ ко всем виртуальным машинам на хосте. Среди CVE VMware в БДУ ФСТЭК — десятки с KEV-статусом: побег из VM (VM Escape), RCE через vCenter, обход аутентификации. После приобретения VMware компанией Broadcom ценовая политика изменилась, что ускоряет миграцию на альтернативы (ROSA Virtualization, oVirt). Мониторинг уязвимостей VMware критичен до завершения миграции.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Автоматизируйте мониторинг уязвимостей VMware

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.

Уязвимости VMware — CVE и БДУ ФСТЭК | КиберОснова