[简版] 关于vSphere漏洞-OpenSLP

一、前言

近期vSphere OpenSLP漏洞在野利用的新闻频频被爆出来，大伙儿非常关注。由于vSphere虚拟化客户之广泛，很多朋友都表达了自己的焦虑，同时也会担心自己管理的vSphere虚拟化平台是否存在隐患。

二、什么是OpenSLP

1. OpenSLP全称Open Service Location Protocol。根据OpenSLP官网描述: SLP项目是由IETF（互联网工程工作组）制定的标准。它提供了一个框架，以允许网络应用发现企业网络环境中网络服务的存在、位置、配置信息。而OpenSLP，其实就是SLP的一种开源实现。
   你知道吗？很多的设备都运行着OpenSLP协议，比如以下我们熟知的：
   • Linux
   • Windows
   • FreeBSD
   • Solaris
   • Mac OS X
   而SLP，在诸如惠普、施乐的网络打印机这样的设备中都存在着。
2. vSphere里面运行的OpenSLP是做什么用的？
   vSphere（系统名ESXi）里面的SLP服务主要是用于让第三方管理工具或者客户端便于获取硬件信息（比如很多服务器厂商定制版本的vSphere里面，会运行CIM服务，用于获取硬件健康状态等等信息，这个服务就依赖SLP）。

三、关于此次爆出的漏洞

1. OpenSLP漏洞其实早在2020年的时候就存在了（CVE-2020-3992），并不是一个新出现的漏洞。在当时，VMware就推出了相关的漏洞补丁，以及升级版本。（参考链接）。ESXi的版本升级和打补丁操作，这里就不详细提供了，建议大家在集群中通过配合vMotion，逐台进行升级，对于业务没有影响。
2. 我们都知道，修复漏洞的最好方法就是打补丁、升级版本，但是很多朋友的场景，esxi可能已经过于老旧，或者因为某些原因导致不能升级。那要怎么去处理这个问题呢？
3. 临时处理方案（除了会影响CIM获取硬件健康信息，对业务虚拟机没有影响）：
   a. 通过vsphere的webclient或者vcenter webclient，开启ESXi主机的SSH服务。
   b. SSH远程到ESXi主机
   c. 执行下列命令：

#关闭slpd服务进程，注意slpd服务只有在未使用的时候才能停止
/etc/init.d/slpd stop
#禁用slpd服务
esxcli network firewall ruleset set -r CIMSLP -e 0
#设置开机服务禁用
chkconfig slpd off
#检查slpd运行状态
/etc/init.d/slpd status
#检查确保重启后slpd还是禁用的
chkconfig --list | greg slpd
#预期输出：slpd off

#如果使用的是服务器定制vSphere，还可以顺带把CIM服务关了（因为这个服务依赖slpd）
/etc/init.d/sfcbd-watchdog stop
#检查服务运行状态
/etc/inst.d/sfcbd-watchdog status
#设置开机服务禁用
chkconfig sfcbd-watchdog off
#检查是否开机禁用
chkconfig sfcbd-watchdog
#预期输出： sfcbd-watchdog off

#以上服务开启，和上述操作相反即可
stop ---> start
off  ---> on
set xxx -e 0 ---> set xxx -e 1

操作完成后，非必要就把ESXi 的SSH服务关掉吧。

四、建议

1. 订阅VMware安全报告
   a. 网址：https://www.vmware.com/security/advisories.html
   b. 操作：点击网页中间的RSS Feed，或者"Sign up for Security Advisories"，根据页面提示填写接收邮箱即可。
2. 关于安全：
   a. 管理网络分离规划：管理网络和业务网络一定要分开，不要混用；
   b. 管理网络访问控制：不要允许办公用户网段等非管理员网络访问vSphere管理网络；
   c. 正确使用堡垒机：上面这条实现之后，很多时候管理员进行管理就会变得麻烦。别怕，可以更麻烦些–架设堡垒机，仅允许堡垒机访问管理网络；
   d. 不管是VMware、Windows、还是Linux，安全补丁能打则打，不能打的要积极关注官方动态查看是否有临时解决方案。
   e. 网络安全切勿掉以轻心！！！这都2023年了！！！
3. 关于数据：
   a. 数据安全第一！！！备份一定要做！！！备份一定要能够还原的那种！！！

官方参考文档：
https://kb.vmware.com/s/article/76372
https://kb.vmware.com/s/article/1025757