CVE-2021-22005:VMware vCenter 9.8分漏洞PoC
CVSS評分9.8分的VMware vCenter漏洞PoC發(fā)布。
CVE-2021-22005漏洞概述
VMware vCenter服務(wù)器是幫助IT管理員在企業(yè)環(huán)境中通過console管理虛擬主機(jī)和虛擬機(jī)的服務(wù)管理解決方案。9月,安全研究人員George Noseevich等發(fā)現(xiàn)了VMware vCenter中的一個(gè)文件上傳漏洞——CVE-2021-22005。CVE-2021-22005漏洞是Analytics服務(wù)中的任意文件上傳漏洞,CVSS評分9.8分,未經(jīng)過認(rèn)證的遠(yuǎn)程攻擊者可以通過上傳精心偽造的文件到受影響的vCenter服務(wù)器部署來利用該漏洞以轉(zhuǎn)型命令和軟件。整個(gè)攻擊過程非常簡單,且無需任何用戶交互。漏洞影響運(yùn)行vCenter Server 6.7 和 7.0版本的所有應(yīng)用。
漏洞PoC
隨后,越南安全研究人員Jang發(fā)布了關(guān)于CVE-2021-22005漏洞的技術(shù)分析以及VMware補(bǔ)丁的分析。文章最后,Jang還提供了CVE-2021-22005漏洞的PoC代碼,但嚴(yán)禁人員稱該P(yáng)oC代碼是無害的,因?yàn)槠渲胁缓袑?shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的最關(guān)鍵的部分。但相關(guān)技術(shù)細(xì)節(jié)非常詳細(xì),有經(jīng)驗(yàn)的開發(fā)者可以根據(jù)相關(guān)技術(shù)細(xì)節(jié)開發(fā)漏洞利用,獲取root權(quán)限以及實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。
9月27日,研究人員wvu發(fā)布了CVE-2021-22005漏洞的又一PoC漏洞利用,其利用環(huán)境是啟用了Customer Experience Improvement Program (CEIP)組件的終端,這也是VMware vCenter的默認(rèn)狀態(tài)。但VMware對該漏洞的描述是任何可以通過網(wǎng)絡(luò)訪問vCenter Server的用戶都可以利用該漏洞,漏洞利用與vCenter Server的具體配置無關(guān)。Wvu還從技術(shù)上解釋了漏洞利用的每一個(gè)步驟,從創(chuàng)建路徑遍歷所需的目錄到反向shell派生。
Wvu稱雖然該漏洞利用會(huì)生成多個(gè)文件,但是攻擊活動(dòng)不會(huì)被傳統(tǒng)的安全解決方案記錄到。
安全建議
研究人員在互聯(lián)網(wǎng)上搜索暴露在互聯(lián)網(wǎng)的VMware vCenter示例,shodan顯示有超過5000臺機(jī)器,Censys顯示超過6800臺機(jī)器。
9月24日,美國CISA也發(fā)布了CVE-2021-22005漏洞的安全警示,督促受影響的用戶更新機(jī)器或應(yīng)用VMware提供的臨時(shí)補(bǔ)丁。
本文翻譯自:
https://www.bleepingcomputer.com/news/security/working-exploit-released-for-vmware-vcenter-cve-2021-22005-bug/
