MENU

如何在 VMware ESXi 上禁用/启用 SLP 服务

February 7, 2023 • 已被 401 位童鞋围观过 • 系统运维

病毒内容

威胁行为者目前正在利用远程代码执行漏洞向 VMware ESXi 大规模部署勒索软件,该漏洞很可能是 CVE-2021-21974。有权访问端口 427 的威胁参与者可以在 OpenSLP 服务中触发堆溢出问题,从而导致远程代码执行。

受影响的产品:
- VMware vSphere
- VMware ESXi

DIVD 建议升级到以下案例文件中提到的补丁版​​本之一。如果这不是一个可行的选项,作为解决方法,可以禁用 TCP/UDP 端口 427 上的 SLP 服务。

细节

已披露影响 ESXi 的 OpenSLP 漏洞。这些漏洞及其对 VMware 产品的影响记录在以下 VMware 安全公告 (VMSA) 中,请在继续之前查看这些漏洞,因为可能存在超出本文档范围的注意事项:

VMSA-2022-0030 (CVE-2022-31699)
VMSA-2021-0014 (CVE-2021-21995)
VMSA-2021-0002 (CVE-2021-21974)
VMSA-2020-0023  (CVE-2020-3992)
VMSA-2019-0022 (CVE-2019-5544)

ESXi 团队调查了这些漏洞并确定可以通过执行解决方案部分详述的步骤来消除利用的可能性这篇文章的。此解决方法仅作为临时解决方案,建议客户部署上述 VMSA 中记录的补丁。

警告:

此解决方法仅适用于 ESXi。不要将此解决方法应用于其他 VMware 产品。

功能影响:

使用变通方法后,使用 SLP 通过端口 #427 查找 CIM 服务器的 CIM 客户端将无法找到该服务。

无需重新启动 ESXi 主机即可禁用/启用该服务

解决方案

要实施解决方法,请执行以下步骤:

1 使用 SSH 会话(例如 putty)登录到 ESXi 主机

2 使用以下命令停止 ESXi 主机上的 SLP 服务:

/etc/init.d/slpd stop

注意:SLP 服务只能在服务未被使用时停止。使用以下命令查看 Service Location Protocol Daemon 的运行状态:

esxcli system slp stats get

3 运行以下命令以禁用 SLP 服务:

esxcli network firewall ruleset set -r CIMSLP -e 0

要使此更改在重新启动后持续存在:

chkconfig slpd off

要检查更改是否在重新启动后应用:

chkconfig --list | grep slpd

output: slpd off

Last Modified: September 28, 2023