VMware vCenter Server文件上傳漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 高危 
  • CVE編號(hào):CVE-2021-22005
  • 漏洞類(lèi)型: 文件上傳
  • 威脅類(lèi)型:遠(yuǎn)程
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2021-09-27
  • 更新時(shí)間:2021-09-27

漏洞簡(jiǎn)介

1、組件介紹

VMware vCenter Server是美國(guó)威睿(VMware)公司的一套服務(wù)器和虛擬化管理軟件。該軟件提供了一個(gè)用于管理VMware vSphere環(huán)境的集中式平臺(tái),可自動(dòng)實(shí)施和交付虛擬基礎(chǔ)架構(gòu)。

2、漏洞描述

2021年9月22日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則VMware vCenter Server組件存在文件上傳漏洞的信息,漏洞編號(hào):CVE-2021-22005,漏洞威脅等級(jí):嚴(yán)重。

該漏洞是由于VMware vCenter 的 CEIP(客戶體驗(yàn)改善計(jì)劃)分析服務(wù)中對(duì)用戶提供的請(qǐng)求參數(shù)處理不當(dāng),攻擊者可利用該漏洞在未授權(quán)的情況下,上傳惡意文件造成遠(yuǎn)程代碼執(zhí)行攻擊,最終獲取服務(wù)器最高權(quán)限。

漏洞公示

暫無(wú)

參考網(wǎng)站

暫無(wú)

受影響實(shí)體

可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,國(guó)內(nèi)省份中受影響資產(chǎn)分布于廣東、江蘇、浙江等省市。

目前受影響的VMware vCenter Server版本:

VMware vCenter Server 7.0

VMware vCenter Server 6.7

補(bǔ)丁

1、如何檢測(cè)組件系統(tǒng)版本

登錄VMware vCenter Server后,在主機(jī)頁(yè)面中即可查看相應(yīng)的版本信息。


2、官方修復(fù)建議

當(dāng)前官方已發(fā)布受影響版本的對(duì)應(yīng)補(bǔ)丁,建議受影響的用戶及時(shí)更新官方的安全補(bǔ)丁。鏈接如下:

https://customerconnect.vmware.com/patch/


補(bǔ)丁下載方法(以6.7版本的補(bǔ)丁為例)

1. 從VMware Customer Connect下載 VMware vCenter Server 6.7 Update 3o 補(bǔ)丁。

2. 導(dǎo)航到“Products and Accounts”的“Product Patches”下。

3. 在“Select a Product”下拉菜單中選擇 VC。

4. 然后從“Select Version”下拉菜單中選擇相應(yīng)的vCenter版本。

5. 然后單擊“搜索”,下載最新的補(bǔ)丁。


補(bǔ)丁安裝方法(以6.7版本的補(bǔ)丁為例)

1. 首先在vCenter Server的Datecenter中找到ESXI主機(jī)的datastore,上傳補(bǔ)丁文件VMware-vCenter-Server-Appliance-6.7.0.50000-18485166-patch-FP.iso。


2. 上傳成功后,在vCenter找到對(duì)應(yīng)的ESXi主機(jī),右鍵編輯設(shè)置,文件附加到 vCenter Server Appliance CD 或 DVD 驅(qū)動(dòng)器


3. 在CD/DVD驅(qū)動(dòng)器中,選擇數(shù)據(jù)存儲(chǔ)ISO文件,點(diǎn)擊下方的瀏覽按鈕,找到上述步驟中上傳的補(bǔ)丁文件,點(diǎn)擊確定,進(jìn)行掛載。


4. 以具有超級(jí)管理權(quán)限(例如root)的用戶身份登錄到設(shè)備 shell并運(yùn)行以下命令:

(1)暫存 ISO:software-packages stage –iso


一直輸入回車(chē),最后輸入Yes后會(huì)顯示Staging process completed successfully。

(2)查看暫存內(nèi)容:software-packages list –staged


(3)安裝:software-packages install --staged


(4)VCSA重啟:shutdown reboot -ra

再次查看vCenter的版本,已經(jīng)升級(jí)成功。


3、臨時(shí)修復(fù)建議

該臨時(shí)修復(fù)建議存在一點(diǎn)影響,可能導(dǎo)致7.0版本使用中用戶接收到“JSON deserialization failed”的報(bào)錯(cuò)。

    臨時(shí)方案需根據(jù)vCenter版本,對(duì)應(yīng)去修改/etc/vmware-analytics/ph-web.xml文件。

(1)對(duì)于 6.7 U1b(內(nèi)部版本11726888) 及更早版本,有 1 個(gè)端點(diǎn)“phTelemetryServlet”需要注釋。

(2)對(duì)于 6.7U2(內(nèi)部版本 13010631) 及更高版本以及 7.0 的所有版本,有 3 個(gè)受影響的端點(diǎn),即“phTelemetryServlet”、“phPhApiServlet”和“phPhStgApiServlet”端點(diǎn)。

    根據(jù)修改方法不同分為臨時(shí)修復(fù)方案1和臨時(shí)修復(fù)方案2。方案1采用腳本自動(dòng)修復(fù),方案二為手動(dòng)修復(fù)方案。


臨時(shí)修復(fù)方案1:

1. 使用SSH會(huì)話和root憑證連接到VCSA。

2. 將檢測(cè)腳本復(fù)制到VCSA終端的/var/tmp/路徑下。

3. 執(zhí)行python /var/tmp/VMSA-2021-0020.py。

4. 如果終端中顯示Patching completed. Vulnerabilities are NOT detected. 則臨時(shí)修復(fù)方案生效。



官方臨時(shí)修復(fù)腳本(VMSA-2021-0020.py)下載鏈接:

https://kb.vmware.com/sfc/servlet.shepherd/version/download/0685G00000YTpbRQAT


臨時(shí)修復(fù)方案2:

1.使用SSH會(huì)話和root憑證連接到VCSA。

2.備份/etc/vmware-analytics/ph-web.xml文件

cp /etc/vmware-analytics/ph-web.xml/etc/vmware-analytics/ph-web.xml.backup

3.打開(kāi)/文本編輯器中的etc/vmware-analytics/ph-web.xml文件

vi /etc/vmware-analytics/ph-web.xml


4.敲擊鍵盤(pán)上的“ I ”進(jìn)入“ Insert ”模式(I 表示插入)。

5.導(dǎo)航到<list>行,如下所示。


6.按 Enter。

7.鍵入<!—,如下所示。


8.導(dǎo)航到</bean>

該行位于6.7U2版本的<property name="servlet" ref="phPhStgApiServlet"/>行后

該行位于6.7U1b或更早版本的<property name="servlet" ref="phtelemetryservlet"/>行后。


9.按 Enter 并鍵入-->。


10.按鍵盤(pán)上的 Esc 按鈕退出插入模式。

11.鍵入 :wq 并保存并退出文件點(diǎn)擊 Enter 。


12.重新啟動(dòng) vmware-analytics 服務(wù),在VCSA終端中輸入

service-control --restart vmware-analytics

13.最后為了確認(rèn)解決方法已經(jīng)生效,您可以通過(guò)運(yùn)行以下命令進(jìn)行測(cè)試

curl -X POST "http://localhost:15080/analytics/telemetry/ph/api/hyper/send?_c&_i=test" -d "Test_Workaround" -H "Content-Type: application/json" -v 2>&1 | grep HTTP

結(jié)果應(yīng)該返回 404 錯(cuò)誤。


4、深信服解決方案

深信服下一代火墻AF】可防御此漏洞, 建議用戶將深信服下一代防火墻開(kāi)啟 WAF 防護(hù)策略,并更新最新安全防護(hù)規(guī)則,即可輕松抵御此高危風(fēng)險(xiǎn)。

深信服安全感知管理平臺(tái)SIP】結(jié)合云端實(shí)時(shí)熱點(diǎn)高危/緊急漏洞信息,可快速檢出業(yè)務(wù)場(chǎng)景下的該漏洞,并可聯(lián)動(dòng)【深信服下一代防火墻等產(chǎn)品AF】實(shí)現(xiàn)對(duì)攻擊者IP的封堵。

深信服安全云眼CloudEye】預(yù)計(jì)2021年9月29日,完成檢測(cè)更新,對(duì)所有用戶網(wǎng)站探測(cè),保障用戶安全。不清楚自身業(yè)務(wù)是否存在漏洞的用戶,可注冊(cè)信服云眼賬號(hào),獲取30天免費(fèi)安全體驗(yàn)。

注冊(cè)地址:http://saas.sangfor.com.cn

深信服云鏡JY】預(yù)計(jì)2021年9月29日,完成檢測(cè)能力的發(fā)布,部署了云鏡的用戶可以通過(guò)升級(jí)來(lái)快速檢測(cè)網(wǎng)絡(luò)中是否受該高危風(fēng)險(xiǎn)影響,避免被攻擊者利用。離線使用云鏡的用戶需要下載離線更新包來(lái)獲得漏洞檢測(cè)能力,可以連接云端升級(jí)的用戶可自動(dòng)獲得漏洞檢測(cè)能力。