CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析

  • A+
所属分类:安全文章


赶紧点击上方话题进行订阅吧!

报告编号:B6-2021-041303

报告来源:360CERT

报告作者:ghtwf01

更新日期:2021-04-13


1
 漏洞概述



VMware vRealize Operations 可在由 AI 提供支持的统一平台中针对私有云、混合云和多云环境提供自动配置 IT 运维管理套件。

本次安全更新修复了一处服务端请求伪造漏洞,一处任意文件上传漏洞。未经身份验证的攻击者通过访问特定的api传入恶意数据,最终在目标服务器上触发漏洞。


2
 漏洞分析



CVE-2021-21975

位于casa/WEB-INF/classes/com/vmware/ops/casa/api/ClusterDefinitionController.class有一个路由/nodes/thumbprints

CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析

这里接收POST传入的值作为address传入getNodesThumbprints方法,跟进ClusterDefinitionService#getNodesThumbprints

CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析

这里实例化了一个HttpMapFunction类并调用了execute方法,可以看到返回的结果保存在response中,后面就是对返回结果的处理,从变量名和后面操作的行为就可以猜测execute方法里面就是发出请求也就是造成ssrf的地方,跟进看一看

CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析

这里的hosts也就是我们传入的address转为数组的形式,接着将hosts赋值给var4,然后进入for循环遍历host通过HttpTask.createInstance创建任务实例,跟进HttpTask#createInstance

CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析

这里的op从实例化HttpMapFunction那儿可以知道值为RequestMethod.GET,所以这里返回了一个发送GET请求的任务HttpGetTask,回到execute方法中,将得到的任务task放入tasks中,最后通过invokeAll开始多线程执行。

漏洞利用

CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析

注意这里Content-Type要为application/json

CVE-2021-21983

位于casa/classes/com/vmware/vcops/casa/appconfig/CertificateController.class有一个路由

CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析

这里接收了两个post参数name和file,然后跟进CertificateService#handleCertificateFile

CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析

这里创建了一个File对象,然后直接使用transferTo函数上传文件,两个参数都是可控的所以就造成了任意文件上传漏洞。

漏洞利用

CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析


3
 组合利用=RCE



思路是ssrf获取Authorization然后配合文件上传漏洞getshell。

复现ssrf的时候已经接收到了Authorization(8.3之前的版本会有,不包括8.3),然后就利用文件上传漏洞写webshell。

CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析


4
 Reference



VMSA-2021-0004

https://www.vmware.com/security/advisories/VMSA-2021-0004.html




往期推荐
01

Exchange 多个蠕虫级远程命令执行漏洞通告

02

【POC公开】Chrome 远程代码执行0Day漏洞通告

03

2021-04 补丁日: 微软多个高危漏洞通告


CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析
360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们
CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析


CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析
点击在看,进行分享
CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析

本文始发于微信公众号(三六零CERT):CVE-2021-21975/21983 VMware SSRF、任意文件上传漏洞分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: