باگ ESXi و راه جلوگیری از آن

ESXi یکی از محبوب‌ترین پلتفرم‌های مجازی‌سازی است که توسط VMware ارائه شده است. با این حال، مانند هر نرم‌افزاری، ممکن است در طول زمان با باگ‌ها و مشکلاتی مواجه شود که عملکرد سرورهای مجازی شما را تحت تاثیر قرار دهد. در این مقاله، به بررسی باگ‌های رایج در ESXi و راهکارهای جلوگیری و رفع آن‌ها می‌پردازیم تا بتوانید سرورهای مجازی خود را با امنیت و پایداری بیشتری مدیریت کنید.

در این مقاله به باگ ESXi و راه جلوگیری از آن میپردازیم و نسخه های شامل وصله امنیتی عبارتند از : 6 , 6.5 , 6.7 و 7u1 که به پچ کردن آن میپردازیم.

باگ ESXi و راه جلوگیری از آن

در تاریخ 8 دسامبر 2022 یک باگ امنیتی خطرناک با لول خطرناک (قرمز) بسیاری از سرور های اختصاصی که روی آنها مجایزی ساز vmware esxi میزبانی میشد را هدف قرار داد. متاسفانه تعداد بسیار زیادی از سرور های اروپایی و آسیایی مورد حمله هکر ها قرار گرفت . این باگ و رخنه که با expolit های متعددی در فروم های امنیتی که سطح دسترسی Private داشتند برای عموم به نمایش گذاشته شد و اکسپولیت باگ esxi بصورت خصوصی پابلیک شد.

هدف اصلی این باگ کد کردن اطلاعات ماشین ها ( سرور مجازی) و باج خواهی از مدیران و صاحبان شرکت های میزبانی بود که راه کار هایی و وصله های امنیتی برای این باگ توسط شرکت vmware صادر گردید.

سرویسی که میزبان حملات قرار میگرفت OpenSLP بود که نگاه امنیتی به این سرویس تا بحال انجام نشده بود و به همین دلیل دسترسی بالایی به مهاجم میداد.

یکی از راه حل های موقت برای جلوگیری از آسیب پذیری محدود کردن ورود به esxi میباشد که با رفتن به منوی Networking و انتخاب تب Firewall rules و ویرایش تنظیمات vSphere Web Client امکان پذیر بود.

باگ ESXi و راه جلوگیری از آن

نکته: توجه داشته باشید که آیپی ها را بصورت رنجی و تکی میتوانید صبت کنید و هر رنج یا تک آیپی را باید با , جدا کنید. و حتما چک کنید که آیپی وارد شده با آیپی ثابت اینترنت شما برابری کند.

راه های امن کردن esxi

یکی از مهمترین ویژگی های یک مدیر سرور قطعا امن سازی محیط مجازی ساز میباشد و در صورتی که این موار اعمال نشود قطعا تمامیه ماشین ها و سرور های موجود در مجازی ساز دچار آسیب جبران ناپذیر خواهند شد.

ایمینی در محیط شبکه دشوار نیست صرفا نیازمند صرف وقت و مطالعه رویداد ها و مشکلات امنیتی میباشد به همین منظور چک لیست کانفیگ esxi برای امنیت esxi را منتشر میکنیم که انشالله آسیبی در این ضمینه به شما وارد نشود.

1- تغییر پورت اتصال به esxi

2-تغییر پورت ssh (پیشفرض 22)

3-غیر فعال کردن SSH

4-اتصال به vmware Vcenter applacation

5- بروزرسانی های ماهانه

6- نصب فریمور و سرویس پک سخت افزاری

7-تغییر آیپی در ESXI بصورت لوکال و اتصال به مجای ساز با vpn

8-نصب patch امنیتی در vcenter

9- ایجاد نام کاربری غیر از root در مجازی ساز

در صورت رعایت کردن این 9 مورد حتی اگر از نسخه های قدیمی هم استفاده میکنید هیچوقت دچار آسیب نخواهید شد.

این راه حل صرفا موقتی و برای آلوده نشدن سرور شما میباشد و در مرحله بعدی حتما باید راه حل اصلی یعنی نصب patch های ارایه شده امنیتی میباشد.

رفع باگ ESXi و نصب patch امنیتی در ESXI

برای نصب وصله امنیتی esxi باید ورژن آن را داشته باشیم و به همین منظور به ترتیب مراجل زیر را انجام میدهیم.در ابتدا تمامیه ماشین های مجازی روی سرور را خاموش و سرور را به حالت تعمیر تغییر وضعیت میدهیم.

1- فعال کردن ssh در esxi

نکته: برای فعال کردن SSH در esxi به منوی Manege و سربرگ Service رفته و روی گزینه TSM-SSH کلیک کرده و از تب عملیات گزینه start را میزنیم.

فعال کردن ssh در esxi

نکته: حتما بعد از انجام عملیات آپدیت / ویرایش / و… سرویس SSH را غیر فعال کنید زیرا آیپی های esxi تحت رصد شدید کرک ها هستند و در صورتی که سرویس ssh فعال بماند ورود به esxi بعد از مدتی غیر ممکن میشود .

در صورتی که با مشکل بروت فورس و قفل شدن کاربری root esxi مواجه شدید آموزش رفع مشکل بروت فورس esxi را مطالعه کنید.

سپس بعد از انجام عملیات فعال سازی ssh در esxi با وارد کردن دستور vmware -v ورژن نهایی نسخه vmware را مشاهده میکنید که نسبت به ورژن فعلی باید آپدیت های بعدی را از سایت vmware(دانلود path esxi) دانلود کنید.

بعد از دانلود patch مجازی ساز esxi مراحل را به ترتیب طی میکنیم.

2- با دستور زیر به درایوهای هارد سرور هدایت میشویم.

cd /vmfs/volumes/datastore1/

نکته: اگر نام هارد ها را تغییر دادی  datastor1 بصورت پیشفرض نام هارد اول شما میباشد.

3-متناسب با نوع ورژن esxi یکی از patch های زیر را فراخوانی میکنیم.( میتوانید بصورت مستقیم هم در هارد سرور آپلود نمایید)

wget https://dl.famaserver.com/esxi/pach/ESXi600-202002001.zip
wget https://dl.famaserver.com/esxi/pach/ESXi650-202210001.zip
wget https://dl.famaserver.com/esxi/pach/ESXi670-202210001.zip

4- و با دستور زیر اقدام به نصب انها میکنیم.

esxcli software vib update -d /vmfs/volumes/datastore1/ESXi670-202210001.zip
esxcli software vib update -d /vmfs/volumes/datastore1/ESXi650-202210001.zip
esxcli software vib update -d/vmfs/volumes/datastore1/ESXi600-202002001.zip

نکته: صرفا نیاز به نصب یکی از موارد را دارید مثلا اگر از نسخه 6.7 استفاده میکنید فقط نیاز به نصب وصله امنیتی ESXi670-202210001.zip را دارید .

5- در صورتی که سرور شما نیاز به وصله امنیتی داشته باشد باید با خروجی شبیه خروجی زیر روبرو شوید:

باگ ESXi و راه جلوگیری از آن

6-در صورتی که پیام successfully را مشاهده کردید سرور را reboot کنید.

بعد از لود شدن سرور دسترسی به ssh مسدود شده است  مجدد دسترسی به سرور را از طریق ssh فعال میکنیم و به ssh وارد میشویم و دستور vmware -v را وارد کرده تا از صحت آپدیت و نصب وصله های امنیتی مطمن شویم.

باگ ESXi و راه جلوگیری از آن

نتیجه‌گیری:

مدیریت و نگهداری سرورهای مجازی با استفاده از ESXi، به دلیل امکانات گسترده‌ای که این پلتفرم ارائه می‌دهد، به‌طور کلی آسان است. اما مواجه شدن با باگ‌ها و مشکلات فنی، اجتناب‌ناپذیر است. با پیاده‌سازی راهکارهای پیشگیرانه و به‌روزرسانی‌های منظم، می‌توانید احتمال بروز این مشکلات را به حداقل برسانید و از کارایی و پایداری سرورهای خود اطمینان حاصل کنید.

در نهایت، استفاده از بهترین شیوه‌های مدیریت و پیکربندی ESXi می‌تواند از بروز بسیاری از مشکلات جلوگیری کند و عملکرد بهتری برای زیرساخت مجازی شما به ارمغان بیاورد.