باگ ESXi و راه جلوگیری از آن
در این مقاله به باگ ESXi و راه جلوگیری از آن میپردازیم و نسخه های شامل وصله امنیتی عبارتند از : 6 , 6.5 , 6.7 و 7u1 که به پچ کردن آن میپردازیم.
باگ ESXi و راه جلوگیری از آن
در تاریخ 8 دسامبر 2022 یک باگ امنیتی خطرناک با لول خطرناک (قرمز) بسیاری از سرور های اختصاصی که روی آنها مجایزی ساز vmware esxi میزبانی میشد را هدف قرار داد. متاسفانه تعداد بسیار زیادی از سرور های اروپایی و آسیایی مورد حمله هکر ها قرار گرفت . این باگ و رخنه که با expolit های متعددی در فروم های امنیتی که سطح دسترسی Private داشتند برای عموم به نمایش گذاشته شد و اکسپولیت باگ esxi بصورت خصوصی پابلیک شد.
هدف اصلی این باگ کد کردن اطلاعات ماشین ها ( سرور مجازی) و باج خواهی از مدیران و صاحبان شرکت های میزبانی بود که راه کار هایی و وصله های امنیتی برای این باگ توسط شرکت vmware صادر گردید.
سرویسی که میزبان حملات قرار میگرفت OpenSLP بود که نگاه امنیتی به این سرویس تا بحال انجام نشده بود و به همین دلیل دسترسی بالایی به مهاجم میداد.
یکی از راه حل های موقت برای جلوگیری از آسیب پذیری محدود کردن ورود به esxi میباشد که با رفتن به منوی Networking و انتخاب تب Firewall rules و ویرایش تنظیمات vSphere Web Client امکان پذیر بود.
نکته: توجه داشته باشید که آیپی ها را بصورت رنجی و تکی میتوانید صبت کنید و هر رنج یا تک آیپی را باید با , جدا کنید. و حتما چک کنید که آیپی وارد شده با آیپی ثابت اینترنت شما برابری کند.
راه های امن کردن esxi
یکی از مهمترین ویژگی های یک مدیر سرور قطعا امن سازی محیط مجازی ساز میباشد و در صورتی که این موار اعمال نشود قطعا تمامیه ماشین ها و سرور های موجود در مجازی ساز دچار آسیب جبران ناپذیر خواهند شد.
ایمینی در محیط شبکه دشوار نیست صرفا نیازمند صرف وقت و مطالعه رویداد ها و مشکلات امنیتی میباشد به همین منظور چک لیست کانفیگ esxi برای امنیت esxi را منتشر میکنیم که انشالله آسیبی در این ضمینه به شما وارد نشود.
2-تغییر پورت ssh (پیشفرض 22)
3-غیر فعال کردن SSH
4-اتصال به vmware Vcenter applacation
5- بروزرسانی های ماهانه
6- نصب فریمور و سرویس پک سخت افزاری
7-تغییر آیپی در ESXI بصورت لوکال و اتصال به مجای ساز با vpn
9- ایجاد نام کاربری غیر از root در مجازی ساز
در صورت رعایت کردن این 9 مورد حتی اگر از نسخه های قدیمی هم استفاده میکنید هیچوقت دچار آسیب نخواهید شد.
این راه حل صرفا موقتی و برای آلوده نشدن سرور شما میباشد و در مرحله بعدی حتما باید راه حل اصلی یعنی نصب patch های ارایه شده امنیتی میباشد.
رفع باگ ESXi و نصب patch امنیتی در ESXI
برای نصب وصله امنیتی esxi باید ورژن آن را داشته باشیم و به همین منظور به ترتیب مراجل زیر را انجام میدهیم.در ابتدا تمامیه ماشین های مجازی روی سرور را خاموش و سرور را به حالت تعمیر تغییر وضعیت میدهیم.
1- فعال کردن ssh در esxi
نکته: برای فعال کردن SSH در esxi به منوی Manege و سربرگ Service رفته و روی گزینه TSM-SSH کلیک کرده و از تب عملیات گزینه start را میزنیم.
نکته: حتما بعد از انجام عملیات آپدیت / ویرایش / و… سرویس SSH را غیر فعال کنید زیرا آیپی های esxi تحت رصد شدید کرک ها هستند و در صورتی که سرویس ssh فعال بماند ورود به esxi بعد از مدتی غیر ممکن میشود .
در صورتی که با مشکل بروت فورس و قفل شدن کاربری root esxi مواجه شدید آموزش رفع مشکل بروت فورس esxi را مطالعه کنید.
سپس بعد از انجام عملیات فعال سازی ssh در esxi با وارد کردن دستور vmware -v ورژن نهایی نسخه vmware را مشاهده میکنید که نسبت به ورژن فعلی باید آپدیت های بعدی را از سایت vmware(دانلود path esxi) دانلود کنید.
بعد از دانلود patch مجازی ساز esxi مراحل را به ترتیب طی میکنیم.
2- با دستور زیر به درایوهای هارد سرور هدایت میشویم.
cd /vmfs/volumes/datastore1/
نکته: اگر نام هارد ها را تغییر دادی datastor1 بصورت پیشفرض نام هارد اول شما میباشد.
3-متناسب با نوع ورژن esxi یکی از patch های زیر را فراخوانی میکنیم.( میتوانید بصورت مستقیم هم در هارد سرور آپلود نمایید)
wget https://dl.famaserver.com/esxi/pach/ESXi600-202002001.zip wget https://dl.famaserver.com/esxi/pach/ESXi650-202210001.zip wget https://dl.famaserver.com/esxi/pach/ESXi670-202210001.zip
4- و با دستور زیر اقدام به نصب انها میکنیم.
esxcli software vib update -d /vmfs/volumes/datastore1/ESXi670-202210001.zip esxcli software vib update -d /vmfs/volumes/datastore1/ESXi650-202210001.zip esxcli software vib update -d/vmfs/volumes/datastore1/ESXi600-202002001.zip
نکته: صرفا نیاز به نصب یکی از موارد را دارید مثلا اگر از نسخه 6.7 استفاده میکنید فقط نیاز به نصب وصله امنیتی ESXi670-202210001.zip را دارید .
5- در صورتی که سرور شما نیاز به وصله امنیتی داشته باشد باید با خروجی شبیه خروجی زیر روبرو شوید:
6-در صورتی که پیام successfully را مشاهده کردید سرور را reboot کنید.
بعد از لود شدن سرور دسترسی به ssh مسدود شده است مجدد دسترسی به سرور را از طریق ssh فعال میکنیم و به ssh وارد میشویم و دستور vmware -v را وارد کرده تا از صحت آپدیت و نصب وصله های امنیتی مطمن شویم.
باگ ESXi و راه جلوگیری از آن – فاماسرور
در صورتی که فقط آیپی دسترسی به سرور را محدود کنیم آیا باز هم امکان آسیب وجود دارد؟
بله قطعا. در صورتی که شما esxi را محدود به نمایش یا ورود به آیپی خودتان یا رنج آیپی خاصی کنید و اگر ssh فعال باشد قطعا آسیب پذیر هستید. این باگ برای تمامیه محصولات esxi میباشد که vcenter هم شامل حال آن میشود و اگر ماشین esxi را در vcenter اضافه کرده باشید مستقیم در معرض خطر قرار گرفتید.
چرا باید بصورت ماهانه آپدیت داشته باشیم؟
متاسفانه مجازی سازهای Vmware جز پرقدرتترین و آسیبپذیر ترین ها هستند زیرا نیمی از سرویس های مجازی سازی شده در ادارات و شرکت ها از زیرساخت های vcenter و esxi استفاده میکنند که با آیپی valid یا لوکال در دسترس هستند.
با انجام این موارد خطر نفوذ به esxi های ما رفع میشود؟
بله با نصب وصله های امنیتی خطری فعلا شمارا درگیر نخواهد کرد ولی هر هفته/ماهانه حتما آپدیت ها را از سایت مرجع vmware چک کنید.