【安全风险通告】CVE-2021-22017 VMware vCenter Server rhttpproxy 绕过漏洞

admin

102776
文章

87
评论

2022年3月29日03:14:44评论350 views字数 2319阅读7分43秒阅读模式

【安全风险通告】CVE-2021-22017 VMware vCenter Server rhttpproxy 绕过漏洞

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

风险通告

近日，奇安信CERT监测到VMware官方发布安全通告，其中包括VMware vCenter Server rhttpproxy 绕过漏洞（CVE-2021-22017）。攻击者可绕过 rhttpproxy 限制，访问内部接口。通过访问vmware-analytics服务中的端点，构造请求修改日志记录的位置，将恶意代码通过日志记录的方式写入指定jsp文件中，从而造成远程代码执行。

目前，奇安信CERT已监测到VMware vCenter Server rhttpproxy 绕过漏洞（CVE-2021-22017）细节及部分EXP流出，攻击者可通过现有信息编写出漏洞利用代码，成功利用此漏洞即可在无需身份认证的情况下远程执行任意代码。目前官方已发布修复版本，鉴于漏洞影响较大，奇安信CERT强烈建议客户尽快修复漏洞并自查服务器的安全状况。

当前漏洞状态

细节是否公开	PoC状态	EXP状态	在野利用
是	已公开	已公开(部分)	未知

漏洞描述

VMware vCenter Server 提供对 vSphere 虚拟基础架构的集中管理。 IT 管理员可以确保安全性和可用性、简化日常任务并降低管理虚拟基础架构的复杂性。

目前，奇安信CERT已监测到VMware vCenter Server rhttpproxy 绕过漏洞（CVE-2021-22017）细节及部分EXP流出，攻击者可通过现有信息编写出漏洞利用代码，即可在无需身份认证的情况下远程执行任意代码。目前官方已发布修复版本，奇安信CERT强烈建议客户尽快修复漏洞并自查服务器的安全状况。

1、CVE-2021-22017 VMware vCenter Server rhttpproxy 绕过漏洞

漏洞名称	VMware vCenter Server rhttpproxy 绕过漏洞
漏洞类型	身份认证绕过	风险等级	高危	漏洞ID	CVE-2021-22017
公开状态	已公开	在野利用	未发现
漏洞描述	VMware vCenter Server rhttpproxy 中URI规范化实施不当，远程未经身份验证的攻击者可通过一个特制的 URL绕过rhttpproxy限制访问内部端点。
参考链接
https://www.vmware.com/security/advisories/VMSA-2021-0020.html

奇安信CERT第一时间复现VMware vCenter Server rhttpproxy绕过漏洞（CVE-2021-22017），复现截图如下：

风险等级

奇安信 CERT风险评级为：高危

风险等级：蓝色（一般事件）

影响范围

VMware vCenter Server 6.5.*

VMware vCenter Server 6.7.*

VMware Cloud Foundation (vCenter Server) 3.*

处置建议

升级至安全版本：

VMware vCenter Server 6.5 U3q

https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3q-release-notes.html

VMware vCenter Server 6.7 U3o

https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3o-release-notes.html

VMware Cloud Foundation (vCenter Server) KB85719 (3.10.2.2)

https://kb.vmware.com/s/article/85719

产品解决方案

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0928.13063上版本。规则名称：VMware vCenter Server rhttpproxy 绕过漏洞(CVE-2021-22017)，规则ID：0x10020DEC。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2109281300” 及以上版本并启用规则ID: 4324701进行检测。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对VMware vCenter Server rhttpproxy 绕过漏洞（CVE-2021-22017 ）的防护。

参考资料

[1]https://www.vmware.com/security/advisories/VMSA-2021-0020.html

时间线

2021年9月28日，奇安信 CERT发布安全风险通告

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

https://image.ipaiban.com/upload-ueditor-image-20201113-1605239205538073309.png

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓

左青龙
微信扫一扫

右白虎
微信扫一扫

【安全风险通告】CVE-2021-22017 VMware vCenter Server rhttpproxy 绕过漏洞

CVE-2024-28253 :OpenMetadata

CVE-2024-27956 WordPress Automatic SQL注入漏洞可添加后台账号

用友NC down/bill存在SQL注入漏洞(XVE-2024-9469)

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

发表评论

在线咨询

微信