PowerCLIВиртуализация VMware

Уязвимость/vulnerability VMware Tools HGFS. Установка isolation.tools.hgfs.disable с PowerCLI.

На днях VMware выпустила VMware Tools 10.3.0 и VMware Security Advisory VMSA-2018-0017.

И эти два события взаимосвязаны – новые VMware Tools 10.3.0 устраняют уязвимость чтения в HGFS, связанную с локальным раскрытием информации.

Проект Common Vulnerabilities and Exposures (cve.mitre.org) присвоил  этой проблеме идентификатор CVE-2018-6969.

Проблема связана только с VMware host guest file system (HGFS), т.е. для эксплуатации этой проблемы необходимо, чтобы для ВМ общий доступ к файлам был включен. А включен он по умолчанию.

Следует отметить рекомендацию VMware: “В средах высокой безопасности вы можете отключить некоторые компоненты, чтобы минимизировать риск того, что злоумышленник может использовать гостевую файловую систему хоста (HGFS) для передачи файлов внутри гостевой операционной системы” Disable VMware Shared Folders Sharing Host Files to the Virtual Machine.

Т.е. для устранения уязвимости нужно либо обновить VMware Tools до версии 10.3.0, либо отключить HGFS, установив значение параметра isolation.tools.hgfs.disable в TRUE (при выключенной ВМ).

О способах обновления VMware Tools я писал в статьях:

Обновление VMware Tools с использованием VUM (Update Manager)

Использование PowerCLI для установки “Сheck and upgrade vmware tools before each power on”.

Проверить статус параметра isolation.tools.hgfs.disable можно с помощью  PowerCLI:

Get-VM | Get-AdvancedSetting -Name isol.tools.hgfsServerSet.disable

Для конкретной ВМ:

Get-VM my-VM | Get-AdvancedSetting -Name isol.tools.hgfsServerSet.disable

Если вывод ничего не показывает, значит параметр не установлен (и ВМ, следовательно, уязвима).

Установим isolation.tools.hgfs.disable для всех ВМ

$vms = Get-VM
foreach ($vm in $vms) {New-AdvancedSetting -Entity $vm -Name isol.tools.hgfsServerSet.disable -Value TRUE -Confirm:$false -Force:$true}

Установка параметра isol.tools.hgfsServerSet.disable для единичной ВМ длится около секунды. Поэтому если ВМ много, то операция может оказаться достаточно длительной.

Установка параметра для конкретной ВМ:

Get-VM my-VM | New-AdvancedSetting -Name isol.tools.hgfsServerSet.disable -Value TRUE -Confirm:$false -Force:$true

Оценим результат выполнения

$Setting = ‘isol.tools.hgfsServerSet.disable’
Get-VM | Select-Object -Property Name, @{Name=”$Setting”;Expression={($_ | Get-AdvancedSetting -Name $Setting).Value}}

 

Related Post

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.