风险通告
近日,奇安信CERT监测到VMware官方发布多个VMware Cloud Foundation/VMware vCenter Server的中/高危漏洞,其中包括VMware vCenter Server 文件上传漏洞 (CVE-2021-22005)、VMware vCenter Server 本地提权漏洞 (CVE-2021-21991)、VMware vCenter Server 反向代理绕过漏洞 (CVE-2021-22006)、VMware vCenter Server 未经身份验证的 API 端点漏洞 (CVE-2021-22011)、VMware vCenter Server本地提权漏洞 (CVE-2021-22015)、VMware vCenter Server 未经身份验证的 API 信息泄露漏洞 (CVE-2021-22012)、VMware vCenter Server 目录遍历漏洞 (CVE-2021-22013)、VMware vCenter Server rhttpproxy 绕过漏洞 (CVE-2021-22017)等多个中/高危漏洞。
其中VMware vCenter Server 文件上传漏洞(CVE-2021-22005)的影响较大,具有vCenter Server 443端口的访问权限的攻击者即可向vCenter Server上传特制的恶意文件,进而远程执行任意代码。
目前,奇安信CERT已监测到VMware vCenter Server 文件上传漏洞(CVE-2021-22005)细节及PoC流出,攻击者可在无需身份认证的情况下上传文件。经验证默认配置情况下该PoC可用,漏洞利用的现实威胁上升。同时官方已发布修复版本,奇安信CERT强烈建议客户尽快修复漏洞并自查服务器的安全状况。
本次更新内容:
1、 更新CVE-2021-22005 VMware vCenter Server 文件上传漏洞状态
2、 新增复现截图、新增产品线解决方案
当前漏洞状态
|
细节是否公开 |
PoC状态 |
EXP状态 |
在野利用 |
|
是(部分) |
已公开(部分) |
未知 |
未知 |
注:CVE-2021-22005 VMware vCenter Server 文件上传漏洞细节以及PoC已公开
VMware vCenter Server 提供对 vSphere 虚拟基础架构的集中管理。 IT 管理员可以确保安全性和可用性、简化日常任务并降低管理虚拟基础架构的复杂性。
近日,奇安信CERT监测到VMware官方发布多个VMware Cloud Foundation/VMware vCenter Server的中/高危漏洞,其中包括:
-
VMware vCenter Server 文件上传漏洞 (CVE-2021-22005)
-
VMware vCenter Server 本地提权漏洞 (CVE-2021-21991)
-
VMware vCenter Server 反向代理绕过漏洞 (CVE-2021-22006)
-
VMware vCenter Server 未经身份验证的 API 端点漏洞 (CVE-2021-22011)
-
VMware vCenter Server 本地提权漏洞 (CVE-2021-22015)
-
VMware vCenter Server 未经身份验证的 API 信息泄露漏洞 (CVE-2021-22012)
-
VMware vCenter Server 目录遍历漏洞 (CVE-2021-22013)
-
VMware vCenter Server rhttpproxy 绕过漏洞 (CVE-2021-22017)
目前,官方已发布修复版本,奇安信CERT强烈建议客户尽快修复漏洞并自查服务器的安全状况。
1、CVE-2021-22005 VMware vCenter Server 文件上传漏洞
|
漏洞名称 |
VMware vCenter Server 文件上传漏洞 |
||||
|
漏洞类型 |
文件上传 |
风险等级 |
严重 |
漏洞ID |
CVE-2021-22005 |
|
公开状态 |
已公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
VMware vCenter Server对上传文件的验证不足,具有vCenter Server 443端口的访问权限的攻击者可以向vCenter Server上传特制的恶意文件,执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://www.vmware.com/security/advisories/VMSA-2021-0020.html |
|||||
2、CVE-2021-21991 VMware vCenter Server 本地提权漏洞
|
漏洞名称 |
VMware vCenter Server 本地提权漏洞 |
||||
|
漏洞类型 |
本地提权 |
风险等级 |
高危 |
漏洞ID |
CVE-2021-21991 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
VMware vCenter Server 处理会话令牌的方式存在缺陷。本地攻击者可以在 vSphere Client (HTML5) 或 vCenter Server vSphere Web Client (FLEX/Flash) 上利用该缺陷将权限提升为管理员。 |
||||
|
参考链接 |
|||||
|
https://www.vmware.com/security/advisories/VMSA-2021-0020.html |
|||||
3、CVE-2021-22006 VMware vCenter Server 反向代理绕过漏洞
|
漏洞名称 |
VMware vCenter Server 反向代理绕过漏洞 |
||||
|
漏洞类型 |
身份验证绕过 |
风险等级 |
高危 |
漏洞ID |
CVE-2021-22006 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
VMware vCenter Server反向代理中的 URI 处理不当。远程未经身份验证的攻击者可以向端口 443/TCP 发送特制的 HTTP 请求并访问受限端点。 |
||||
|
参考链接 |
|||||
|
https://www.vmware.com/security/advisories/VMSA-2021-0020.html |
|||||
4、CVE-2021-22011 VMware vCenter Server 未经身份验证的 API 端点漏洞
|
漏洞名称 |
VMware vCenter Server 未经身份验证的 API 端点漏洞 |
||||
|
漏洞类型 |
身份验证绕过 |
风险等级 |
高危 |
漏洞ID |
CVE-2021-22011 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
vCenter Server Content库中包含一个未经身份验证的 API 端点漏洞,对vCenter Server 443端口具有访问权限的攻击者可以未经授权访问系统并执行未经身份验证的 VM 网络设置操作 |
||||
|
参考链接 |
|||||
|
https://www.vmware.com/security/advisories/VMSA-2021-0020.html |
|||||
5、CVE-2021-22015 VMware vCenter Server 本地提权漏洞
|
漏洞名称 |
VMware vCenter Server 本地提权漏洞 |
||||
|
漏洞类型 |
本地提权 |
风险等级 |
高危 |
漏洞ID |
CVE-2021-22015 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
VMware vCenter Server系统设置的文件和文件夹的默认权限不正确。有权访问系统的本地攻击者可以在 vCenter Server Appliance 上将特权升级为 root。 |
||||
|
参考链接 |
|||||
|
https://www.vmware.com/security/advisories/VMSA-2021-0020.html |
|||||
6、CVE-2021-22012 VMware vCenter Server 未经身份验证的 API 信息泄露漏洞
|
漏洞名称 |
VMware vCenter Server 未经身份验证的 API 信息泄露漏洞 |
||||
|
漏洞类型 |
信息泄露 |
风险等级 |
中危 |
漏洞ID |
CVE-2021-22012 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
VMware vCenter Server缺少对设备管理 API 的身份验证。远程未经身份验证的攻击者可以访问端口 443/TCP 来访问系统上的敏感信息。 |
||||
|
参考链接 |
|||||
|
https://www.vmware.com/security/advisories/VMSA-2021-0020.html |
|||||
7、CVE-2021-22013 VMware vCenter Server 目录遍历漏洞
|
漏洞名称 |
VMware vCenter Server 路径遍历漏洞 |
||||
|
漏洞类型 |
目录遍历 |
风险等级 |
中危 |
漏洞ID |
CVE-2021-22013 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
VMware vCenter Server在设备管理 API 中处理目录遍历序列时输入验证错误。远程未经身份验证的攻击者可以向端口 443/TCP 发送特制的 HTTP 请求并读取系统上的任意文件。 |
||||
|
参考链接 |
|||||
|
https://www.vmware.com/security/advisories/VMSA-2021-0020.html |
|||||
8、CVE-2021-22017 VMware vCenter Server rhttpproxy 绕过漏洞
|
漏洞名称 |
VMware vCenter Server rhttpproxy 绕过漏洞 |
||||
|
漏洞类型 |
身份认证绕过 |
风险等级 |
高危 |
漏洞ID |
CVE-2021-22017 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
rhttpproxy 中 URI 规范化实施不当。远程未经身份验证的攻击者可以请求一个特制的 URL,绕过 rhttpproxy 并访问内部端点。 |
||||
|
参考链接 |
|||||
|
https://www.vmware.com/security/advisories/VMSA-2021-0020.html |
|||||
奇安信CERT已成功复现VMware vCenter Server 文件上传漏洞 (CVE-2021-22005),复现截图如下:
VMware vCenter Server 6.5.*
VMware vCenter Server 6.7.*
VMware vCenter Server 7.0.*
VMware Cloud Foundation (vCenter Server) 3.*
VMware Cloud Foundation (vCenter Server) 4.*
-
升级至安全版本
-
CVE-2021-22005的缓解措施
第一种缓解措施:
1、使用 SSH 会话和 root 凭据连接到 vCSA。
2、将脚本复制到”/etc/tmp”,列出您复制文件的目录的内容,以确保它被成功复制。执行命令并确保该文件已列出 ls -al /var/tmp/。
3、通过执行以下命令来运行脚本 根据需要更改文件的路径,要使用的 python 版本取决于您的 vCenter 的确切版本.脚本可以用python、python3.5或python 3.7执行。
python /var/tmp/VMSA-2021-0020.py或
python3.5 /var/tmp/VMSA-2021-0020.py或
python3.7 /var/tmp/VMSA-2021-0020.py
这个脚本会执行下面的操作:
a:创建未修改的ph-web.xml的备份
b:更新 ph-web.xml 文件
c:创建更新的ph-web.xml的备份
d:重新启动分析服务
e:确认设备不再易受攻击
请看下面的输出(在本例中使用 python 3.5 执行的脚本)。
脚本链接:
第二种缓解措施:
1、使用 SSH 会话和根凭据连接到 vCSA。
2、备份 /etc/vmware-analytics/ph-web.xml 文件:
cp /etc/vmware-analytics/ph-web.xml /etc/vmware-analytics/ph-web.xml.backup3、打开/文本编辑器中的etc/vmware-analytics/ph-web.xml文件:
vi /etc/vmware-analytics/ph-web.xml4、该文件的内容如下所示:
5、敲击键盘上的”|”进入“Insert”模式(I 表示插入)。
6、导航到“<list>”行,如下所示:
7、按 Enter。
8、键入“<!—”,如下所示:
9、跳转到“</bean>”标签后面的“<property name="servlet" ref="phPhStgApiServlet"/>”行。在6.7 的旧版本(u1b 或更早版本)上,您应该跳转到“<property name="servlet”之后的“</bean>”标签后面的”ref="phTelemetryServlet"/>”行。
10、按“Enter”并键入“-->”。
11、按键盘上的“Esc”按钮退出插入模式。
12、键入“:wq”并保存并退出文件点击“Enter”。
13、通过键入service-control --restart vmware-analytics命令重新启动 vmware-analytics 服务。
14、为了确认解决方法已经生效,您可以通过运行以下命令进行测试
curl -X POST "http://localhost:15080/analytics/telemetry/ph/api/hyper/send?_c&_i=test" -d "Test_Workaround" -H "Content-Type: application/json" -v 2>&1 | grep HTTP此时应该返回404错误。
奇安信网神网站应用安全云防护系统已全面支持对VMware vCenter Server 文件上传漏洞(CVE-2021-22005)的防护。
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0924.13053上版本。规则名称:VMware vCenter Server 文件上传漏洞(CVE-2021-22005),规则ID:0x10020DEA。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6937,建议用户尽快升级检测规则库至2109241620以后版本并启用该检测规则。
奇安信网神智慧防火墙产品防护方案
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2109241700” 及以上版本并启用规则ID: 4325101进行检测。
[2]https://kb.vmware.com/s/article/85717
2021年9月22日,奇安信 CERT发布安全风险通告
2021年9月24日,奇安信 CERT发布安全风险通告第二次更新
原文始发于微信公众号(奇安信 CERT):【通告更新】奇安信CERT已复现,VMware vCenter Server多个漏洞安全风险通告第二次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论