اجرای کد از راه دور بر روی vRealize بدون نیاز به احرازهویت

تاریخ انتشار : 1400/01/14 | نویسنده : _SHRoot_

اجرای کد از راه دور بر روی vRealize بدون نیاز به احرازهویت

اخیراً برای محصول vRealize Operations شرکت VMware دو آسیب پذیری با شناسه های آسیب پذیری CVE-2021-21975 و CVE-2021-21983 کشف شده اند که به ترتیب از درجه حساسیت 8.6 و 7.2 در مقیاس  CVSS3 برخوردار هستند.

به صورت کلی مهاجم می تواند با بهره برداری از این دو آسیب پذیری، بدون نیاز به اطلاعات یک حساب کاربری معتبر بر روی vRealize، به اجرای کد از راه دور بر روی سیستم آسیب پذیر بپردازد. در ادامه جزئیات حمله مورد بحث، بیان می شود.

بررسی دقیق تر آسیب پذیری ها:

CVE-2021-21975 : شناسه آسیب پذیری مذکور، به حمله SSRF که می تواند بر روی vRealize Operations Manager API با موفقیت اجرا شود، اختصاص یافته است. این آسیب پذیری توسط محققان امنیتی شرکت Positive Technologies کشف شده است و پس از بررسی های دقیق شرکت VMware، به عنوان یک آسیب پذیری حائز اهمیت (از درجه حساسیت 8.6) تلقی شده است که در نتیجه‌ی آن، مهاجمی که به vRealize Operations Manager API قربانی دسترسی داشته باشد، قادر است با اجرای موفق حمله SSRF، اطلاعات حساب کاربری administrator را به سرقت ببرد.

هم چنین برای بررسی این که آیا سرور شما به آسیب پذیری مذکور آسیب پذیر است یا خیر می توان از PoC موجود در این لینک و یا اسکریپت Nmap ارائه شده در اینجا بهره برد.

از جمله مصداق های آسیب پذیری vRealize به حمله SSRF در تصویر زیر قابل مشاهده است که در آن مهاجم، پس از فراخوانی مسیر /casa/nodes/thumbprints می تواند ارتباط NC با سیستم خود برقرار نماید:

 

 

CVE-2021-21983 : شناسه آسیب پذیری مذکور متعلق به حمله «ساخت فایل دلخواه» بر روی  vRealize Operations Manager API است که همانند شناسه پیشین، توسط محققان امنیتی شرکت Positive Technologies کشف شده است. مهاجم به واسطه این آسیب پذیری می تواند در صورت داشتن اطلاعات یک حساب کاربری معتبر بر روی سرور قربانی،در مسیر دلخواهی از سیستم عامل سرور ( photon )، فایل بسازد.

 

دو آسیب پذیری اشاره شده، هر سه محصول نام برده زیر را تحت تاثیر قرار می دهند:

vRealize Operations Manager (versions: 7.0.0 , 7.5.0 , 8.0.1 , 8.1.1 , 8.2.0 , 8.3.0)

VMware Cloud Foundation (vROps) (versions: 4.x/3.x)

vRealize Suite Lifecycle Manager (vROps) (version: 8.x)

 

پس از بررسی های بیشتر، محققان امنیتی به این نتیجه رسیدند که در صورت آسیب پذیر بودن سرور قربانی به CVE های شناسایی شده، مهاجم می تواند به راحتی، با ترکیب این دو حمله، پیش نیاز احرازهویت موجود در شناسه CVE-2021-21983 را نیز دور بزند و به راحتی فایل های مخرب خود را بر روی سیستم عامل سرور قرار دهد. بدین ترتیب کافی است مهاجم تنها با سرور قربانی ارتباط داشته باشد تا بتواند از راه دور، دستورات مورد نظر خود را بر روی آن به اجرا درآورد.

 

رفع آسیب پذیری ها:

  • شرکت VMware در تاریخ 30 مارس، وصله های امنیتی مرتبط با آسیب پذیری های شناسایی شده را ارائه نمود. برای patch کردن هر یک از محصولات آسیب پذیر می توان به لینک های زیر مراجعه نمود.

 

vRealize Operations Manager

version 8.3.0:  https://kb.vmware.com/s/article/83210

version 8.2.0:  https://kb.vmware.com/s/article/83095

version 8.1.1:  https://kb.vmware.com/s/article/83094

version 8.0.1:  https://kb.vmware.com/s/article/83093

version 7.5.0:  https://kb.vmware.com/s/article/82367

version 7.0.0:  https://kb.vmware.com/s/article/83287

 

VMware Cloud Foundation (vROps)

Version 4.x/3.x:  https://kb.vmware.com/s/article/83260

 

vRealize Suite Lifecycle Manager (vROps)

version 8.x:  https://kb.vmware.com/s/article/83260

 

هم چنین VMware راهکار موقتی برای رفع آسیب پذیری های شناسایی شده نیز برای آن دسته از کاربرانی که نمی توانند با توجه به عملیاتی بودن سرورهای خود، از وصله های ارائه شده بهره ببرند، به شرح زیر ارائه داده است. اما توصیه می شود تا در اسرع وقت، وصله های مربوطه بر روی سرورهای آسیب پذیر اعمال گردند.

مرحله اول: فایل تنظیماتی زیر را با دسترسی root باز کنید:

/usr/lib/vmware-casa/casa-webapp/webapps/casa/WEB-INF/classes/spring/casa-security-context.xml

مرحله دوم: خط زیر را از فایل مذکور حذف کنید:

<sec:http pattern="/nodes/thumbprints" security='none'/>

مرحله سوم: فایل را ذخیره کنید.

مرحله چهارم: سرویس CaSA را با دستور زیر reset کنید:

service vmware-casa restart

مرحله پنجم: مراحل 1 تا 4 را بر روی تمامی اعضای کلاستر vRealize Operations تکرار نمایید.