

Log4j2漏洞蔓延至虚拟化基础设施：VMware多款产品受其影响

奇安信技术研究院

2021-12-12

导读：Log4j2漏洞影响到VMware旗下多款产品，奇安信技术研究院研究员第一时间对相关威胁进行了复现和评估。Log4j2漏洞基于供应链的蔓延影响需要厂商和用户密切关注。

【摘要】Log4j2漏洞影响到VMware旗下多款产品，奇安信技术研究院第一时间对相关产品漏洞进行了复现，并对网络资产暴露面进行了评估。Log4j2漏洞基于供应链已蔓延影响至虚拟化等网络基础设施，厂商和用户需密切关注。

事件背景

Apache Log4j2漏洞事件进一步发酵，诸多重要产品、组件相继受其影响。VMware厂商于12月11日在其官网发布安全公告，其下属主流产品VMware Horizon、VMware vCenter Server、VMware HCX等均受Log4j2漏洞影响，危害评级均为“危急（Critical）”。作为虚拟化基础设施，相关威胁影响极大。

Log4j作为日志组件，位于软件供应关系的较底层。因此供应链对此漏洞的放大效应将逐渐显现，相关厂商、用户需密切关注相关威胁发展情况。

图1 VMware官方漏洞公告

Log4j作为日志组件，位于软件供应关系的较底层。因此供应链对此漏洞的放大效应将逐渐显现，相关厂商、用户需密切关注其威胁发展情况。

图2 奇安信开源卫士评估数万组件依赖于Log4j2

漏洞信息

奇安信技术研究院安全研究员第一时间对受Log4j漏洞影响的VMware产品进行了验证，在VMware vCenter等产品中发现并验证了多条未授权远程攻击链，攻击者可以发起未授权的远程代码执行。

因VMware vCenter系统环境中所使用的Log4j库版本较低，因此受当前漏洞影响。在其软件实现中进行了多处Log4j相关问题接口的调用，暴露出较多的攻击面和脆弱接口，特别是在未授权的接口中也存在此类问题，并且其进程权限为最高权限root。这可使攻击者在未授权的情况下直接远程获取系统最高权限。