CVE-2021-21972 VMware vCenter Server

MITRE CVE-2021-21972

這個是個在 vCenter Server plugin 上的 RCE 洞
也就是說只要能碰到這台機器的網頁，就可以觸發這個洞了。
受影響的版本
- VMware vCenter Server
  - 7.x before 7.0 U1c
  - 6.7 before 6.7 U3l
  - 6.5 before 6.5 U3n
- VMware Cloud Foundation
  - 4.x before 4.2
  - 5.3.x before 3.10.1.2

成因

有個 API uploadova 可以上傳 OVA 檔案 (/ui/vropspluginui/rest/services/uploadova)，然後他如果他接到 tar 就會解開傳到 /tmp/unicorn_ova_dir 裡面，不過 tar 有的神奇的 feature，他可以接受 ../ 這樣的檔案名稱，所以就可以隨意碰到其他目錄了！

到這裡就很好想了，傳上後門到你要的地方，就得到了 RCE 了。

PoC

https://github.com/NS-Sp4ce/CVE-2021-21972

這個 PoC 用的是冰蠍 shellcode，只要成功把惡意 payload 利用這個洞放到可以從網頁上碰到的位子就能開一個後門了
他一開始會先去戳 /ui/vropspluginui/rest/services/uploadova 這個地方有沒有開著，回傳 405 來確認洞在不在，如果在就會開始暴力試一下上傳 ../../usr/lib/vmware-vsphere-ui/server/work/deployer/s/global/[某個數字]/0/h5ngc.war/resources/shell.jsp 的那個變數，看哪個是正好開在外面的
實作上用了 Shodan 去掃了台灣的機器 Vcenter country:TW、vSphere country:TW，發現很多都是學網而且好像真的會被打。

冰蠍 webshell

在其中一個 PoC 看到的 webshell，會對傳遞的東西加密，不容易被察覺
红蓝对抗——加密Webshell“冰蝎”攻防
一開始會交換 16 bits 的密鑰，是個比較明顯的特徵
利用动态二进制加密实现新型一句话木马之PHP篇

Reference

CVE-survey

#CVE #vCenter

CVE-2021-21972 VMware vCenter Server

https://wiiwu959.github.io/2021/07/07/2021-07-07-CVE-2021-21972/

Author

Wii Wu

Posted on

July 7, 2021

Licensed under

CVE-2019-14287 linux sudo root Previous

Web Crawler Note Next