【安全風險通告】VMware vCenter Server多個漏洞安全風險通告
風險通告
近日,奇安信CERT監測到VMware官方發布多個VMware Cloud Foundation/VMware vCenter Server的中/高危漏洞,其中包括VMware vCenter Server 文件上傳漏洞 (CVE-2021-22005)、VMware vCenter Server 本地提權漏洞 (CVE-2021-21991)、VMware vCenter Server 反向代理繞過漏洞 (CVE-2021-22006)、VMware vCenter Server 未經身份驗證的 API 端點漏洞 (CVE-2021-22011)、VMware vCenter Server本地提權漏洞 (CVE-2021-22015)、VMware vCenter Server 未經身份驗證的 API 信息泄露漏洞 (CVE-2021-22012)、VMware vCenter Server 目錄遍歷漏洞 (CVE-2021-22013)、VMware vCenter Server rhttpproxy 繞過漏洞 (CVE-2021-22017)等多個中/高危漏洞。
其中VMware vCenter Server 文件上傳漏洞 (CVE-2021-22005)的影響較大,具有vCenter Server 443端口的訪問權限的攻擊者可以向vCenter Server上傳特制的惡意文件,執行任意代碼。
目前,官方已發布修復版本,奇安信CERT強烈建議客戶盡快修復漏洞并自查服務器的安全狀況。
當前漏洞狀態
細節是否公開:是
PoC狀態:已公開
EXP狀態:未知
在野利用:未知
漏洞描述
VMware vCenter Server 提供對 vSphere 虛擬基礎架構的集中管理。 IT 管理員可以確保安全性和可用性、簡化日常任務并降低管理虛擬基礎架構的復雜性。
近日,奇安信CERT監測到VMware官方發布多個VMware Cloud Foundation/VMware vCenter Server的中/高危漏洞,其中包括:
- VMware vCenter Server 文件上傳漏洞 (CVE-2021-22005)
- VMware vCenter Server 本地提權漏洞 (CVE-2021-21991)
- VMware vCenter Server 反向代理繞過漏洞 (CVE-2021-22006)
- VMware vCenter Server 未經身份驗證的 API 端點漏洞 (CVE-2021-22011)
- VMware vCenter Server 本地提權漏洞 (CVE-2021-22015)
- VMware vCenter Server 未經身份驗證的 API 信息泄露漏洞 (CVE-2021-22012)
- VMware vCenter Server 目錄遍歷漏洞 (CVE-2021-22013)
- VMware vCenter Server rhttpproxy 繞過漏洞 (CVE-2021-22017)
目前,官方已發布修復版本,奇安信CERT強烈建議客戶盡快修復漏洞并自查服務器的安全狀況。
1、CVE-2021-22005 VMware vCenter Server 文件上傳漏洞
漏洞名稱
VMware vCenter Server 文件上傳漏洞
漏洞類型
文件上傳
風險等級
嚴重
漏洞ID
CVE-2021-22005
公開狀態
未公開
在野利用
未發現
漏洞描述
VMware vCenter Server對上傳文件的驗證不足,具有vCenter Server 443端口的訪問權限的攻擊者可以向vCenter Server上傳特制的惡意文件,執行任意代碼。
參考鏈接
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
2、CVE-2021-21991 VMware vCenter Server 本地提權漏洞
漏洞名稱
VMware vCenter Server 本地提權漏洞
漏洞類型
本地提權
風險等級
高危
漏洞ID
CVE-2021-21991
公開狀態
未公開
在野利用
未發現
漏洞描述
VMware vCenter Server 處理會話令牌的方式存在缺陷。本地攻擊者可以在 vSphere Client (HTML5) 或 vCenter Server vSphere Web Client (FLEX/Flash) 上利用該缺陷將權限提升為管理員。
參考鏈接
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
3、CVE-2021-22006 VMware vCenter Server 反向代理繞過漏洞
漏洞名稱
VMware vCenter Server 反向代理繞過漏洞
漏洞類型
身份驗證繞過
風險等級
高危
漏洞ID
CVE-2021-22006
公開狀態
未公開
在野利用
未發現
漏洞描述
VMware vCenter Server反向代理中的 URI 處理不當。遠程未經身份驗證的攻擊者可以向端口 443/TCP 發送特制的 HTTP 請求并訪問受限端點。
參考鏈接
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
4、CVE-2021-22011 VMware vCenter Server 未經身份驗證的 API 端點漏洞
漏洞名稱
VMware vCenter Server 未經身份驗證的 API 端點漏洞
漏洞類型
身份驗證繞過
風險等級
高危
漏洞ID
CVE-2021-22011
公開狀態
未公開
在野利用
未發現
漏洞描述
vCenter Server Content庫中包含一個未經身份驗證的 API 端點漏洞,對vCenter Server 443端口具有訪問權限的攻擊者可以未經授權訪問系統并執行未經身份驗證的 VM 網絡設置操作
參考鏈接
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
5、CVE-2021-22015 VMware vCenter Server 本地提權漏洞
漏洞名稱
VMware vCenter Server 本地提權漏洞
漏洞類型
本地提權
風險等級
高危
漏洞ID
CVE-2021-22015
公開狀態
未公開
在野利用
未發現
漏洞描述
VMware vCenter Server系統設置的文件和文件夾的默認權限不正確。有權訪問系統的本地攻擊者可以在 vCenter Server Appliance 上將特權升級為 root。
參考鏈接
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
6、CVE-2021-22012 VMware vCenter Server 未經身份驗證的 API 信息泄露漏洞
漏洞名稱
VMware vCenter Server 未經身份驗證的 API 信息泄露漏洞
漏洞類型
信息泄露
風險等級
中危
漏洞ID
CVE-2021-22012
公開狀態
未公開
在野利用
未發現
漏洞描述
VMware vCenter Server缺少對設備管理 API 的身份驗證。遠程未經身份驗證的攻擊者可以訪問端口 443/TCP 來訪問系統上的敏感信息。
參考鏈接
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
7、CVE-2021-22013 VMware vCenter Server 目錄遍歷漏洞
漏洞名稱
VMware vCenter Server 路徑遍歷漏洞
漏洞類型
目錄遍歷
風險等級
中危
漏洞ID
CVE-2021-22013
公開狀態
未公開
在野利用
未發現
漏洞描述
VMware vCenter Server在設備管理 API 中處理目錄遍歷序列時輸入驗證錯誤。遠程未經身份驗證的攻擊者可以向端口 443/TCP 發送特制的 HTTP 請求并讀取系統上的任意文件。
參考鏈接
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
8、CVE-2021-22017 VMware vCenter Server rhttpproxy 繞過漏洞
漏洞名稱
VMware vCenter Server rhttpproxy 繞過漏洞
漏洞類型
身份認證繞過
風險等級
高危
漏洞ID
CVE-2021-22017
公開狀態
未公開
在野利用
未發現
漏洞描述
rhttpproxy 中 URI 規范化實施不當。遠程未經身份驗證的攻擊者可以請求一個特制的 URL,繞過 rhttpproxy 并訪問內部端點。
參考鏈接
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
風險等級
奇安信 CERT風險評級為:高危
風險等級:藍色(一般事件)
影響范圍
VMware vCenter Server 6.5.*
VMware vCenter Server 6.7.*
VMware vCenter Server 7.0.*
VMware Cloud Foundation (vCenter Server) 3.*
VMware Cloud Foundation (vCenter Server) 4.*
處置建議
- 升級至安全版本
VMware vCenter Server 6.5 U3q
VMware vCenter Server 6.7 U3o
VMware vCenter Server 7.0 U2c
VMware Cloud Foundation (vCenter Server) KB85718 (4.3)
VMware Cloud Foundation (vCenter Server) KB85719 (3.10.2.2)
- CVE-2021-22005的緩解措施
Windows系統上運行的vCenter不受CVE-2021-22005影響,不需要執行下面的緩解措施。
第一種緩解措施:
1、使用 SSH 會話和 root 憑據連接到 vCSA。
2、將腳本復制到”/etc/tmp”,列出您復制文件的目錄的內容,以確保它被成功復制。執行命令并確保該文件已列出 ls -al /var/tmp/。
3、通過執行以下命令來運行腳本 根據需要更改文件的路徑,要使用的 python 版本取決于您的 vCenter 的確切版本.腳本可以用python、python3.5或python 3.7執行。
python /var/tmp/VMSA-2021-0020.py或
python3.5 /var/tmp/VMSA-2021-0020.py或
python3.7 /var/tmp/VMSA-2021-0020.py
這個腳本會執行下面的操作:
a:創建未修改的ph-web.xml的備份
b:更新 ph-web.xml 文件
c:創建更新的ph-web.xml的備份
d:重新啟動分析服務
e:確認設備不再易受攻擊
請看下面的輸出(在本例中使用 python 3.5 執行的腳本)。
腳本鏈接:
https://kb.vmware.com/sfc/servlet.shepherd/version/download/0685G00000XYdkVQAT
第二種緩解措施:
1、使用 SSH 會話和根憑據連接到 vCSA。
2、備份 /etc/vmware-analytics/ph-web.xml 文件:
cp /etc/vmware-analytics/ph-web.xml /etc/vmware-analytics/ph-web.xml.backup
3、打開/文本編輯器中的etc/vmware-analytics/ph-web.xml文件:
vi /etc/vmware-analytics/ph-web.xml
4、該文件的內容如下所示:
5、敲擊鍵盤上的”|”進入“Insert”模式(I 表示插入)。
6、導航到“”行,如下所示:
7、按 Enter。
8、鍵入“”,如下所示:
9、跳轉到“”標簽后面的“”行。在6.7 的舊版本(u1b 或更早版本)上,您應該跳轉到“”行。
10、按“Enter”并鍵入“-->”。
11、按鍵盤上的“Esc”按鈕退出插入模式。
12、鍵入“:wq”并保存并退出文件點擊“Enter”。
13、通過鍵入service-control --restart vmware-analytics命令重新啟動 vmware-analytics 服務。
14、為了確認解決方法已經生效,您可以通過運行以下命令進行測試
curl -X POST "http://localhost:15080/analytics/telemetry/ph/api/hyper/send?_c&_i=test" -d "Test_Workaround" -H "Content-Type: application/json" -v 2>&1 | grep HTTP
此時應該返回404錯誤。
