TCP Опасный Удалённый доступ

Порт 902 (VMware)

Узнайте о порте 902 (VMware) - угрозы безопасности, уязвимости и применение. Найдите устройства с открытым портом 902.

Краткая информация

Номер порта

902

Протокол

TCP

Сервис

VMware

Имя IANA

VMware

Описание сервиса

Сетевой порт TCP 902 широко известен своим использованием службой VMware Virtual Machine Console (VMRC) и VMware Remote Console. Он обеспечивает связь между клиентом VMRC и сервером VMware vCenter или ESXi для управления виртуальными машинами. Исторически, порт 902 использовался для передачи данных консоли, включая ввод с клавиатуры, отображение экрана и другие команды управления виртуальной машиной. Протокол, используемый на порту 902, является проприетарным протоколом VMware, хотя и достаточно документированным для целей совместимости. На техническом уровне, когда клиент VMRC подключается к серверу VMware через порт 902, устанавливается TCP-соединение, и клиент аутентифицируется. После аутентификации данные консоли виртуальной машины передаются между клиентом и сервером через это соединение.

Более конкретно, после установления TCP-соединения, происходит обмен данными в определенном формате, который включает в себя заголовки, определяющие тип передаваемого сообщения (например, ввод с клавиатуры, вывод на экран) и полезную нагрузку, содержащую фактические данные. VMware использует этот порт также для мониторинга состояния виртуальных машин и для обмена информацией об их конфигурации. Важно отметить, что хотя порт 902 в основном используется для VMRC, он также может использоваться другими компонентами VMware для внутренних коммуникаций.

## Рекомендации по настройке файрвола

Рекомендуется ограничить доступ к порту 902 только авторизованным IP-адресам и сетям. Если возможно, используйте VPN для доступа к консоли виртуальных машин через порт 902. В большинстве случаев нет необходимости разрешать трафик к порту 902 из внешних сетей. Важно регулярно обновлять VMware vCenter Server и ESXi, чтобы исправить известные уязвимости. Включите и настройте брандмауэр на хост-системах ESXi и vCenter Server для защиты от несанкционированного доступа. Рассмотрите возможность использования микросегментации сети для дальнейшего ограничения доступа к порту 902.

Информация о безопасности

Порт 902, как и любой сетевой порт, используемый для удаленного управления, представляет собой потенциальную цель для злоумышленников. Уязвимости в реализации протокола VMware, используемого на порту 902, могут позволить злоумышленникам получить несанкционированный доступ к виртуальным машинам или даже скомпрометировать хост-систему ESXi или vCenter Server. Распространенные векторы атак включают в себя атаки типа "человек посередине" (MitM), в которых злоумышленник перехватывает и изменяет трафик между клиентом VMRC и сервером VMware, а также атаки, использующие уязвимости в механизмах аутентификации или авторизации. Кроме того, если порт 902 открыт для публичного доступа без надлежащих мер безопасности, таких как строгая аутентификация и шифрование, он может стать целью для сканирования и эксплуатации.

Известные уязвимости

CVE	Название	Критичность	Описание
CVE-2021-21972	VMware vCenter Server Remote Code Execution Vulnerability	Critical	Уязвимость удаленного выполнения кода в плагине vRealize Operations для vCenter Server позволяет злоумышленнику, находящемуся в сети, получить доступ к vCenter Server без аутентификации.
CVE-2021-21973	VMware vCenter Server Server-Side Request Forgery Vulnerability	High	Уязвимость Server-Side Request Forgery (SSRF) в vCenter Server позволяет злоумышленчнику отправлять запросы на внутренние сервисы.
CVE-2020-3952	VMware Directory Traversal Vulnerability	Medium	Уязвимость обхода каталогов в VMware ESXi, vCenter Server позволяет злоумышленнику получить доступ к конфиденциальным файлам.