VMware Response to CVE-2021-44228: Apache Log4j Remote Code Execution Vulnerability

Merhaba ;

VMware tarafından 13.12.2021 tarihli ,Base Score: 10.0 Kritik öneme sahip ,VMware Security Advisory Apache Log4j’de CVE-2021-44228 tarafından tanımlanan bir güvenlik açığı yayınlandı.Bu kütüphane ‘yi kullanan bir çok üretici bu güvenlik açığınndan etkilendi tam listeye Linkten , VMware tarafında ise Linkten ilgili kb ye erişim sağlayabilirsiniz.

CVE-2021-44228 zafiyeti, Log4Shell veya LogJam olarak da adlandırılır. Apache Log4J kitaplığını etkileyen bu açık yetkisiz bir ÅŸekilde uzaktan kod çalıştırmaya olanak sağlamakla birlikte, özellikle Log4j’nin 2.0-beta9’dan 2.14.1’e kadar tüm sürümlerinin bu durumdan etkilendiğini söylenmektedir. Bu kütüphane , Apache Logging Projesinin bir parçası olarak kullanılan bir kütüphanedir. Java geliştiricileri tarafından kullanılan en yaygın ve popüler günlük kitaplıklarından biridir.VMware dahil olmak üzere dünya genelinde kullanılan büyük yazılım geliştirme şirketleri tarafından kullanılan kütüphanelerden biridir. Bu zafiyetten yararlanmayı başaran kişi bir sunucu veya sisteminizin üzerinde full yetkiye sahip olabilir ve sistemlerinize kalıcı zararlar verebilir. şuan için en kolay geçici çözüm Apache Log4j kitaplığnın en son sürümü olan 2.15.0 ı yüklemek olacaktır.

Bu zafiyetten Etkilenen VMware Ürünleri Aşağıda ki gibidir,

VMware Horizon

VMware vCenter Server

VMware HCX

VMware NSX-T Data Center

VMware Unified Access Gateway

VMware WorkspaceOne Access

VMware Identity Manager

VMware vRealize Operations

VMware vRealize Operations Cloud Proxy

VMware vRealize Log Insight

VMware vRealize Automation

VMware vRealize Lifecycle Manager

VMware Telco Cloud Automation

VMware Site Recovery Manager

VMware Carbon Black Cloud Workload Appliance

VMware Carbon Black EDR Server

VMware Tanzu GemFire

VMware Tanzu Greenplum

VMware Tanzu Operations Manager

VMware Tanzu Application Service for VMs

VMware Tanzu Kubernetes Grid Integrated Edition

VMware Tanzu Observability by Wavefront Nozzle

Healthwatch for Tanzu Application Service

Spring Cloud Services for VMware Tanzu

Spring Cloud Gateway for VMware Tanzu

Spring Cloud Gateway for Kubernetes

API Portal for VMware Tanzu

Single Sign-On for VMware Tanzu Application Service

App Metrics

VMware vCenter Cloud Gateway

VMware Tanzu SQL with MySQL for VMs

VMware vRealize Orchestrator

VMware Cloud Foundation

VMware Workspace ONE Access Connector

VMware Horizon DaaS

VMware Horizon Cloud Connector

VMware , etkilenen ürünler için henüz bir yama yayınlamış değil.Bu zafiyet için bazı ürünlerde workaround çözümler belirtilmiş fakat patchler beklenmektedir. Ancak kullandığınız ürünler için geçici çözümler ile bu açığı kapatabilirsiniz.

işlemlere başlamadan önce, VMware vCenter HA devre dışı bırakmanız gerekiyor ve eğer yapınızda Platform Services Controller kullanıyor iseniz ayrıca adımları uygulamanız gerekmektedir. Ortamınızda bulunan vCenter versiyonuna göre editleyeceğiniz kısımlar değişkenlik göstermektedir Dikkat ediniz.

vCenter altında bu kütüphaneyi vMon, Update Manager , Analytics, CM ,Secure Token, Identity Management , PSC Client Servisleri ile DBCC Utility Kullanmaktadır. Bu yüzden her servis için verilen yönergeleri ayrı ayrı uygulayın.

Konu ile ilgili işinizi kolaylaştıracak,VMware tarafından, KB 87088 içerisinde Python script yayınlandı, Linkten scripti indirdikten sonra indirdiğimiz Script dosyasını WinSCP kullanarak VCSA’da “/tmp” klasörüne kopyalıyoruz. Ayrıca script içerisindeki kodları “Putty” kullanarak VCSA’ya kopyalayarakta işlemi yapabiliriz.

Oluşturduğumuz script dosyasını aşağıdaki kod satırı ile çalıştırıyoruz.

”python /tmp/vmsa-2021-0028.py”

Bu komut ile vMon,Manager Servis ve Analytics .servislerin yeniden başlatılması gerektiğini, karşımıza gelen onay ekranına “Y” tuşuna basarak işleme devam ediyoruz