【安全风险通告】CVE-2021-22017 VMware vCenter Server rhttpproxy 绕过漏洞

admin
admin
admin
140350
文章
117
评论
2022年3月29日03:14:44评论513 views字数 2319阅读7分43秒阅读模式

【安全风险通告】CVE-2021-22017 VMware vCenter Server rhttpproxy 绕过漏洞

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到VMware官方发布安全通告,其中包括VMware vCenter Server rhttpproxy 绕过漏洞(CVE-2021-22017)。攻击者可绕过 rhttpproxy 限制,访问内部接口。通过访问vmware-analytics服务中的端点,构造请求修改日志记录的位置,将恶意代码通过日志记录的方式写入指定jsp文件中,从而造成远程代码执行。


目前,奇安信CERT已监测到VMware vCenter Server rhttpproxy 绕过漏洞(CVE-2021-22017)细节及部分EXP流出,攻击者可通过现有信息编写出漏洞利用代码,成功利用此漏洞即可在无需身份认证的情况下远程执行任意代码。目前官方已发布修复版本,鉴于漏洞影响较大,奇安信CERT强烈建议客户尽快修复漏洞并自查服务器的安全状况。



当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

已公开

已公开(部分)

未知



漏洞描述

VMware vCenter Server 提供对 vSphere 虚拟基础架构的集中管理。 IT 管理员可以确保安全性和可用性、简化日常任务并降低管理虚拟基础架构的复杂性。


近日,奇安信CERT监测到VMware官方发布安全通告,其中包括VMware vCenter Server rhttpproxy 绕过漏洞(CVE-2021-22017)。攻击者可绕过 rhttpproxy 限制,访问内部接口。通过访问vmware-analytics服务中的端点,构造请求修改日志记录的位置,将恶意代码通过日志记录的方式写入指定jsp文件中,从而造成远程代码执行。


目前,奇安信CERT已监测到VMware vCenter Server rhttpproxy 绕过漏洞(CVE-2021-22017)细节及部分EXP流出,攻击者可通过现有信息编写出漏洞利用代码,即可在无需身份认证的情况下远程执行任意代码。目前官方已发布修复版本,奇安信CERT强烈建议客户尽快修复漏洞并自查服务器的安全状况。

 

1CVE-2021-22017 VMware vCenter Server rhttpproxy 绕过漏洞

漏洞名称

VMware vCenter Server   rhttpproxy 绕过漏洞

漏洞类型

身份认证绕过

风险等级

高危

漏洞ID

CVE-2021-22017

公开状态

已公开

在野利用

未发现

漏洞描述

VMware vCenter Server rhttpproxy   中URI规范化实施不当,远程未经身份验证的攻击者可通过一个特制的 URL绕过rhttpproxy限制访问内部端点。

参考链接

https://www.vmware.com/security/advisories/VMSA-2021-0020.html


奇安信CERT第一时间复现VMware vCenter Server rhttpproxy绕过漏洞(CVE-2021-22017),复现截图如下:



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)


影响范围

VMware vCenter Server 6.5.*

VMware vCenter Server 6.7.*

VMware Cloud Foundation (vCenter Server) 3.*



处置建议

升级至安全版本:

  • VMware vCenter Server 6.5 U3q

https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3q-release-notes.html

  • VMware vCenter Server 6.7 U3o

https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3o-release-notes.html

  • VMware Cloud Foundation (vCenter Server) KB85719 (3.10.2.2)

https://kb.vmware.com/s/article/85719



产品解决方案

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0928.13063上版本。规则名称:VMware vCenter Server rhttpproxy 绕过漏洞(CVE-2021-22017),规则ID:0x10020DEC。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2109281300” 及以上版本并启用规则ID: 4324701进行检测。


奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对VMware vCenter Server rhttpproxy 绕过漏洞(CVE-2021-22017 )的防护。



参考资料

[1]https://www.vmware.com/security/advisories/VMSA-2021-0020.html


时间线

2021年9月28日,奇安信 CERT发布安全风险通告


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情





奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月29日03:14:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全风险通告】CVE-2021-22017 VMware vCenter Server rhttpproxy 绕过漏洞https://cn-sec.com/archives/556116.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息