( 1 ) 취약점 설명
해당 취약점은 Positive Technologies 사의 Mikhail Klyuchnikov 님에 의해 보고됨.
vSphere Client (HTML5) 에는 vCenter Server 플러그인의 원격코드 실행 취약점이 포함되어 있음.
포트 443 에 대한 네트워크 액세스 권한이 있는 악의적인 행위자가 이 문제를 악용하여 vCenter Server 를 호스팅하는 기본 운영 체제에서 무제한 권한으로 명령을 실행할 수 있음.
취약점 심각도가 CVSSv3 점수 9.8 인 Critical 심각도 범위에 있는 것으로 평가됨.
영향받는 취약한 제품
VMware vCenter Server 7.0 U1c 이전 7.x 버전
VMware vCenter Server 6.7 U3I 이전 6.7 버전
VMware vCenter Server 6.5 U3n 이전 6.5 버전
VMware Cloud Foundation (vCenter 서버) 4.2 이전 4.x 버전
VMware Cloud Foundation (vCenter 서버) 3.10.1.2 이전 3.x 버전
( 2 ) 취약점 분석
현재 공개된 PoC 를 분석한 결과, 업로드 관련 플러그인(uploadova)을 이용하여 악성 파일을 업로드 후 명령어 입력을 시도하는 것으로 확인됨.
/ui/vropspluginui/rest/services/* URL 에 인증 없이 접근이 가능하며 하위 디렉토리에는 다양한 플러그인이 존재함.
공격자가 인증 없이 접근 시도하여 특정 플로그인을 이용한 악의적인 행위를 할 수 있음.
그 중 uploadova 플로그인은 tar 압축 파일만 업로드만 가능한 플러그인이지만 압축 파일 확장자(.tar) 이름을 필터링되지 않음.
웹쉘 형식의 파일을 업로드 후 명령어 입력이 가능함.
< uploadova 플러그인의 취약한 코드 부분 >
< PoC 실행 화면 >
( 3 ) 취약점 대응방안
최신 패치로 업데이트가 필요함.
VMware vCenter Server 7.0 U1c 버전 업데이트
VMware vCenter Server 6.7 U3I 버전 업데이트
VMware vCenter Server 6.5 U3n 버전 업데이트
VMware Cloud Foundation (vCenter 서버) 4.2 버전 업데이트
VMware Cloud Foundation (vCenter 서버) 3.10.1.2 버전 업데이트
추가적으로 uploadova 플로그인을 이용한 업로드 URL 을 Snort 패턴을 만들어 모니터링이 필요함.
alert tcp any any -> any any (msg:"KOROMOON_CVE-2021-21972 VMware vCenter Server Upload URL Detected"; flow:established,from_client; content:"POST"; depth:4; content:"ui/vropspluginui/rest/services/uploadova"; distance:1;)
참고 사이트 :
https://swarm.ptsecurity.com/unauth-rce-vmware/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21972
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
https://kb.vmware.com/s/article/82374
============================================================
본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.
댓글 없음:
댓글 쓰기