CVE-2021-21972 vCenter 远程命令执行漏洞分析

0x01漏洞简介

vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机,使得 IT 管理员能够提高控制能力,简化入场任务,并降低 IT 环境的管理复杂性与成本。

vSphere Client(HTML5)在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,从而在服务器上写入 webshell,最终造成远程任意代码执行。

0x02影响范围

–vmware:vcenter_server7.0 U1c 之前的 7.0 版本

–vmware:vcenter_server6.7 U3l 之前的 6.7 版本

–vmware:vcenter_server6.5 U3n 之前的 6.5 版本

0x03漏洞影响

VMware已评估此问题的严重程度为 严重 程度,CVSSv3 得分为 9.8。

0x04漏洞分析

vCenter Server 的 vROPS 插件的 API 未经过鉴权,存在一些敏感接口。其中 uploadova 接口存在一个上传 OVA 文件的功能:

代码逻辑是将 TAR 文件解压后上传到 /tmp/unicorn_ova_dir 目录。注意到如下代码:

直接将 TAR 的文件名与 /tmp/unicorn_ova_dir 拼接并写入文件。如果文件名内存在 ../ 即可实现目录遍历。

对于 Linux 版本,可以创建一个包含 ../../home/vsphere-ui/.ssh/authorized_keys 的 TAR 文件并上传后利用 SSH 登陆:

针对 Windows 版本,可以在目标服务器上写入 JSP webshell 文件,由于服务是 System 权限,所以可以任意文件写。

0x05漏洞修复

升级到安全版本:

– vCenter Server 7.0 版本升级到 7.0.U1c

– vCenter Server 6.7版本升级到 6.7.U3l

– vCenter Server 6.5版本升级到 6.5 U3n

临时修复建议

1. SSH远连到vCSA(或远程桌面连接到Windows VC)

2. 备份以下文件:

– Linux系文件路径为:/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)

– Windows文件路径为:C:\ProgramData\VMware\vCenterServer\cfg\vsphere-ui (Windows VC)

3. 使用文本编辑器将文件内容修改为:

4. 使用vmon-cli -r vsphere-ui命令重启vsphere-ui服务

5. 访问https://<VC-IP-or-FQDN>/ui/vropspluginui/rest/services/checkmobregister,显示404错误

6. 在vSphere Client的Solutions->Client Plugins中VMWare vROPS插件显示为incompatible

0x06参考链接

1、 NoahLab CVE-2021-21972 vCenter 6.5-7.0 RCE 漏洞分析

标签: