一、漏洞详情
VMware vCenter Server是高级服务器管理软件,提供了一个集中式平台来控制VMware vSphere环境。VMware官方发布了安全公告,修复了多个vCenter Server的高危漏洞,其中包括文件上传漏洞(CVE-2021-22005)、本地提权漏洞(CVE-2021-21991)、反向代理绕过漏洞(CVE-2021-22006)、服务端API鉴权漏洞(CVE-2021-22011)、本地提权漏洞(CVE-2021-22015)、未经身份验证的 API 信息泄露漏洞(CVE-2021-22012)、rhttpproxy绕过漏洞 (CVE-2021-22017)、经过身份验证的代码执行漏洞(CVE-2021-22014)、服务器端请求伪造漏洞(CVE-2021-21993)等。
文件上传漏洞(CVE-2021-22005):能够访问vCenter Server 443端口的攻击者可利用该漏洞向目标服务器上传任意文件,从而实现远程代码执行,可导致服务器被攻击者控制。
本地提权漏洞(CVE-2021-21991):vCenter Serve存在一个本地提权漏洞,在vCenter Server主机上具有非管理用户访问权限的恶意行为者可能会利用该漏洞将特权提升到vSphere Client (HTML5)或vCenter Server vSphere Web Client (FLEX/Flash)上的管理员。
反向代理绕过漏洞(CVE-2021-22006):能够访问vCenter Server 443端口的攻击者可利用该漏洞绕过反向代理实现未授权访问。
服务端API鉴权漏洞(CVE-2021-22011):能够访问vCenter Server 443端口的攻击者可利用该漏洞来执行未经身份验证的VM网络设置操作。
本地提权漏洞(CVE-2021-22015):具有非管理特权的经过身份验证的本地用户可利用该漏洞在vCenter Server Appliance上将其特权提升为root。
未经身份验证的API信息泄露漏洞(CVE-2021-22012):vCenter Server的一处API未进行身份验证,该漏洞可导致服务器敏感信息泄露。
rhttpproxy绕过漏洞(CVE-2021-22017):由于URI规范化实施不当,在vCenter Server中使用的rhttproxy包含一个漏洞,攻击者可利用该漏洞绕过代理,从而实现对内部网络的访问。
经过身份验证的代码执行漏洞(CVE-2021-22014):vCenter Server在VAMI(虚拟设备管理基础架构)中存在一个经过身份验证的代码执行漏洞,经过身份验证的攻击者可通过访问5480端口利用该漏洞实现vCenter Server的底层操作系统上执行代码。
服务器端请求伪造漏洞(CVE-2021-21993):由于vCenter Server内容库对URL验证不当,有权访问内容库的授权用户可能会通过向vCenter Server发送POST请求访问内网。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
针对CVE-2021-22005 VMware vCenter Server任意文件上传漏洞
VMware vCenter Server 7.0系列 < 7.0 U2c
VMware vCenter Server 6.7系列 < 6.7 U3o
VMware vCenter Server 6.5系列 不受该漏洞影响
其余漏洞受影响版本可参考:https://www.vmware.com/security/advisories/VMSA-2021-0020.html
三、修复建议
1、目前VMware已经发布了相关漏洞的补丁,建议受影响的用户参考VMware官方公告及时升级更新。下载链接:https://www.vmware.com/security/advisories/VMSA-2021-0020.html
2、针对CVE-2021-22005 VMware vCenter Server任意文件上传漏洞,可按照https://kb.vmware.com/s/article/85717相关措施进行缓解。