CVSS評(píng)分9.8分的VMware vCenter漏洞PoC發(fā)布。

　　CVE-2021-22005漏洞概述

　　VMware vCenter服務(wù)器是幫助IT管理員在企業(yè)環(huán)境中通過console管理虛擬主機(jī)和虛擬機(jī)的服務(wù)管理解決方案。9月，安全研究人員George Noseevich等發(fā)現(xiàn)了VMware vCenter中的一個(gè)文件上傳漏洞——CVE-2021-22005。CVE-2021-22005漏洞是Analytics服務(wù)中的任意文件上傳漏洞，CVSS評(píng)分9.8分，未經(jīng)過認(rèn)證的遠(yuǎn)程攻擊者可以通過上傳精心偽造的文件到受影響的vCenter服務(wù)器部署來利用該漏洞以轉(zhuǎn)型命令和軟件。整個(gè)攻擊過程非常簡(jiǎn)單，且無需任何用戶交互。漏洞影響運(yùn)行vCenter Server 6.7 和 7.0版本的所有應(yīng)用。

　　漏洞PoC

　　隨后，越南安全研究人員Jang發(fā)布了關(guān)于CVE-2021-22005漏洞的技術(shù)分析以及VMware補(bǔ)丁的分析。文章最后，Jang還提供了CVE-2021-22005漏洞的PoC代碼，但嚴(yán)禁人員稱該P(yáng)oC代碼是無害的，因?yàn)槠渲胁缓袑?shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的最關(guān)鍵的部分。但相關(guān)技術(shù)細(xì)節(jié)非常詳細(xì)，有經(jīng)驗(yàn)的開發(fā)者可以根據(jù)相關(guān)技術(shù)細(xì)節(jié)開發(fā)漏洞利用，獲取root權(quán)限以及實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

　　9月27日，研究人員wvu發(fā)布了CVE-2021-22005漏洞的又一PoC漏洞利用，其利用環(huán)境是啟用了Customer Experience Improvement Program （CEIP）組件的終端，這也是VMware vCenter的默認(rèn)狀態(tài)。但VMware對(duì)該漏洞的描述是任何可以通過網(wǎng)絡(luò)訪問vCenter Server的用戶都可以利用該漏洞，漏洞利用與vCenter Server的具體配置無關(guān)。Wvu還從技術(shù)上解釋了漏洞利用的每一個(gè)步驟，從創(chuàng)建路徑遍歷所需的目錄到反向shell派生。

　　Wvu稱雖然該漏洞利用會(huì)生成多個(gè)文件，但是攻擊活動(dòng)不會(huì)被傳統(tǒng)的安全解決方案記錄到。

　　安全建議

　　研究人員在互聯(lián)網(wǎng)上搜索暴露在互聯(lián)網(wǎng)的VMware vCenter示例，shodan顯示有超過5000臺(tái)機(jī)器，Censys顯示超過6800臺(tái)機(jī)器。

　　9月24日，美國CISA也發(fā)布了CVE-2021-22005漏洞的安全警示，督促受影響的用戶更新機(jī)器或應(yīng)用VMware提供的臨時(shí)補(bǔ)丁。