Уязвимости VMware: CVE, БДУ ФСТЭК и мониторинг
Уязвимости VMware из реестра БДУ ФСТЭК: 541 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости VMware из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 541.
BDU:2021-05969Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2, позволяющая нарушителю выполнить произвольный код
BDU:2022-02035Уязвимость консоли администрирования VMware Identity Manager (vIDM), платформы администрирования приложений Workspace ONE Access, платформы виртуализации Cloud Foundation и программного средства управ
BDU:2021-04740Уязвимость службы аналитики средства управления виртуальной инфраструктурой VMware vCenter Server, связанная с возможностью загрузки произвольного файла, позволяющая нарушителю выполнить произвольный
BDU:2021-02848Уязвимость модуля Virtual SAN Health Check программного обеспечения для управления гипервизором VMware vSphere Client (HTML5) позволяющая нарушителю выполнить произвольные команды
BDU:2021-00990Уязвимость плагина vSphere Client средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю выполнить произвольный код
BDU:2023-07140Уязвимость реализации протокола DCERPC программного обеспечения управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю выполнить произвольный код
BDU:2023-03101Уязвимость инструмента мониторинга виртуальной инфраструктуры VMware Aria Operations, связанная с возможностью внедрения команд, позволяющая нарушителю выполнить произвольный код
BDU:2022-06488Уязвимость Java-библиотеки для преобразования объектов в XML или JSON формат XStream платформы виртуализации VMware Cloud Foundation, позволяющая нарушителю выполнить произвольный код с root-привилеги
BDU:2020-03338Уязвимость пакета openslp гипервизора VMware ESXi платформы виртуальных компьютеров Horizon DaaS, позволяющая нарушителю оказать воздействие на конфиенциальность, целостность и доступность защищаемой
BDU:2020-01603Уязвимость службы каталогов VMware Directory Service (vmdir) средства управления виртуальной инфраструктурой VMware vCenter Server, позволяющая нарушителю повысить свои привилегии
Почему важно отслеживать уязвимости VMware
VMware ESXi и vCenter Server — основа виртуализации в корпоративных дата-центрах. Уязвимости гипервизора особенно опасны: компрометация ESXi даёт доступ ко всем виртуальным машинам на хосте. Среди CVE VMware в БДУ ФСТЭК — десятки с KEV-статусом: побег из VM (VM Escape), RCE через vCenter, обход аутентификации. После приобретения VMware компанией Broadcom ценовая политика изменилась, что ускоряет миграцию на альтернативы (ROSA Virtualization, oVirt). Мониторинг уязвимостей VMware критичен до завершения миграции.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей VMware
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.