PowerCLIВиртуализация VMware

Уязвимость/vulnerability VMware Tools HGFS. Установка isolation.tools.hgfs.disable с PowerCLI.

На днях VMware выпустила VMware Tools 10.3.0 и VMware Security Advisory VMSA-2018-0017.

И эти два события взаимосвязаны – новые VMware Tools 10.3.0 устраняют уязвимость чтения в HGFS, связанную с локальным раскрытием информации.

ВАЖНО: VMware Tools 10.3 были отозваны, вместо них предлагается чтобы использовать VMware Tools 10.2.5.  Как пишут в KB 57796, хосты ESXi могут выпасть в розовый экран (Purple Diagnostic Screen, PSOD), а гостевые ОС потерять сетевое соединение.

12.09.2018 выпущены VMware Tools 10.3.2, которые исправляют проблему версии 10.3.0

Проект Common Vulnerabilities and Exposures (cve.mitre.org) присвоил  этой проблеме идентификатор CVE-2018-6969.

Проблема связана только с VMware host guest file system (HGFS), т.е. для эксплуатации этой проблемы необходимо, чтобы для ВМ общий доступ к файлам был включен. А включен он по умолчанию.

Следует отметить рекомендацию VMware: “В средах высокой безопасности вы можете отключить некоторые компоненты, чтобы минимизировать риск того, что злоумышленник может использовать гостевую файловую систему хоста (HGFS) для передачи файлов внутри гостевой операционной системы” Disable VMware Shared Folders Sharing Host Files to the Virtual Machine.

Т.е. для устранения уязвимости нужно либо обновить VMware Tools до версии 10.3.0, либо отключить HGFS, установив значение параметра isolation.tools.hgfs.disable в TRUE (при выключенной ВМ).

О способах обновления VMware Tools я писал в статьях:

Обновление VMware Tools с использованием VUM (Update Manager)

Использование PowerCLI для установки “Сheck and upgrade vmware tools before each power on”.

Проверить статус параметра isolation.tools.hgfs.disable можно с помощью  PowerCLI:

Get-VM | Get-AdvancedSetting -Name isol.tools.hgfsServerSet.disable

Для конкретной ВМ:

Get-VM my-VM | Get-AdvancedSetting -Name isol.tools.hgfsServerSet.disable

Если вывод ничего не показывает, значит параметр не установлен (и ВМ, следовательно, уязвима).

Установим isolation.tools.hgfs.disable для всех ВМ

$vms = Get-VM
foreach ($vm in $vms) {New-AdvancedSetting -Entity $vm -Name isol.tools.hgfsServerSet.disable -Value TRUE -Confirm:$false -Force:$true}

Установка параметра isol.tools.hgfsServerSet.disable для единичной ВМ длится около секунды. Поэтому если ВМ много, то операция может оказаться достаточно длительной.

Установка параметра для конкретной ВМ:

Get-VM my-VM | New-AdvancedSetting -Name isol.tools.hgfsServerSet.disable -Value TRUE -Confirm:$false -Force:$true

Оценим результат выполнения

$Setting = ‘isol.tools.hgfsServerSet.disable’
Get-VM | Select-Object -Property Name, @{Name=”$Setting”;Expression={($_ | Get-AdvancedSetting -Name $Setting).Value}}

 

Related Post

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.