ESXi 基础安全加强（6.7）

近日，以VMware ESXi服务器为目标的大规模勒索软件攻击正在席卷全球，包括法国、芬兰、加拿大、美国、意大利等多个国家数千台服务器遭到入侵。攻击者利用2021年2月公开的高危漏洞 (CNVD-2021-12321, https://www.cnvd.org.cn/flaw/show/CNVD-2021-12321)，向WMware ESXi软件目标服务器427端口发送恶意构造的数据包，从而触发其OpenSLP服务堆缓冲区溢出,并执行任意代码。该漏洞影响范围为: VMware ESXi70U1c-17325551 7.0版本、VMware ESXi670-202102401-SG 6.7版本、VMware ESXi650-202102101-SG 6.5版本.

# 查看防火墙规则
esxcli network firewall ruleset allowedip list

# 允许指定ip使用web服务和客户端访问
[root@localhost:~] esxcli network firewall ruleset allowedip add -i <IP> -r <SERVER_NAME>
[root@localhost:~] esxcli network firewall ruleset allowedip add -i 192.168.x.x -r webAccess
[root@localhost:~] esxcli network firewall ruleset allowedip remove -i 192.168.x.x -r vSphereClient

# 修改默认esxi登录的ui地址

vi /etc/rc.local.d/local.sh

mv /usr/lib/vmware/hostd/docroot/index.html /usr/lib/vmware/hostd/docroot/index.html.bak
mv /usr/lib/vmware/hostd/docroot/ui /usr/lib/vmware/hostd/docroot/<自定义其他名字>

# 增加证书登录，登录成功后关闭密码登录

# 勒索病毒比较关注的文件及配置文件
/var/spool/cron/crontabs/root
/bin/hostd-probe.sh
/etc/vmware/rhttpproxy/endpoints.conf
/etc/rc.local.d/local.sh

【生产环境慎用！】# 预防VSPHERE勒索病毒，适用于 ESXI 6.X 中的 OPENSLP 安全漏洞 (CVE-2019-5544) 的权宜措施 (76372)  [开放端口： 427 ]

注意：仅当 SLP 服务未在使用中的时候才能将其停止。使用以下命令可查看服务位置协议守护进程的运行状况：
esxcli system slp stats get

/etc/init.d/slpd stop

esxcli network firewall ruleset set -r CIMSLP -e 0  # 禁用SLP服务

chkconfig slpd off

chkconfig --list | grep slpd

PS：当然，最好的方法还是打补丁，如果因某种不可描述的情况不能安装官方补丁，可以尝试这种权宜方法

警告：此解决办法仅适用于 ESXi。请勿将此权宜措施应用于其他 VMware 产品。

功能影响：使用该权宜措施，使用 SLP 通过端口 #427 查找 CIM 服务器的 CIM 客户端将无法找到该服务。

-----------------------------------------------------如果需要恢复

esxcli network firewall ruleset set -r CIMSLP -e 1

chkconfig slpd on

/etc/init.d/slpd start

-----------------------------------------------------------------------

参考内容：

https://kb.vmware.com/s/article/1025757

CIM（通用信息模型）代理是提供硬件运行状况信息的进程。禁用此服务将禁用硬件运行状况