반응형
VMware RCE 탐지 취약점
-
CVE-2021-21978 (VMware View Planner)
-
CVE-2021-21985 (vCenter Virtual SAN(vSAN))
CVE-2021-21978 (VMware View Planner)
VMware View Planner 4.x 버전에서 원격코드 실행 취약점
logupload 웹 애플리케이션을 통해 임의로 파일 업로드가 가능하고,
악성 파일을 업로드하여 logupload 컨테이너에서 원격코드 실행되는 취약점
- 영향 받는 버전
- View_Planner : 4.6 이전 버전
- 취약점 트래픽
[Target IP]/logupload?logMetaData=%7B%22itrLogPath%22%3A%20%22..%2F..%2F..%2F..%2F..%2F..%2Fetc
%2Fhttpd%2Fhtml%2Fwsgi_log_upload%22%2C%20%22logFileType%22%3A%20
%22log_upload_wsgi.py%22%2C%20%22workloadID%22%3A%20%222%22%7D
URL이 인코딩 되어 있음
- URL 디코딩 결과
/logupload?logMetaData={"itrLogPath": "../../../../../../etc/httpd/html/wsgi_log_upload", "logFileType":"log_upload_wsgi.py", "workloadID": "2"}
CVE-2021-21985 (vCenter Virtual SAN(vSAN))
vSphere Client, Virtual SAN 플러그인의 입력 유효성 검사 관련한 원격코드 실행 취약점
-
영향 받는 버전- vCenter_server : 7.0 / 6.5 / 6.7
- 취약점 트래픽
/ui/h5-vsan/rest/proxy/service/com.vmware.vsan.client.services.capability.VsanCapabilityProvider/getClusterCapabilityData
결론
- 보안 솔루션 (Firewall, IPS, IDS ...)에서 취약점 트래픽에 대해 탐지/차단 유무를 확인하고 적절한 조치 필요
- 미탐지 : 탐지 룰 존재 유무 확인, 탐지 룰 설정, 차단 룰 설정 등
- 미차단 : 차단 룰 설정
- 필요 시 Client를 조사하여 이상 동작 여부, 침해 흔적 등과 같은 사고 조사까지 고려해야 함 -
취약점 패치
-
CVE-2021-21978 (VMware View Planner)
https://knvd.krcert.or.kr/elkDetail.do?CVEID=CVE-2021-21978&jvn=&CVEID=CNNVD-202103-293&dilen=60beed3fdd8239391598aab6 -
CVE-2021-21985 (vCenter Virtual SAN)
https://knvd.krcert.or.kr/elkDetail.do?CVEID=CVE-2021-21985&jvn=&CVEID=CNNVD-202105-1686&dilen=60bedde8dd8239391597c8cb
-
반응형
'IT 보안' 카테고리의 다른 글
| FBI FLASH CP-000169-TT CP-000165-TT (0) | 2024.09.23 |
|---|---|
| Dasan GPON Home Routers Authentication Bypass (CVE-2018-10561, CVE-2018-10562) 분석 자료 (0) | 2024.09.23 |
| 아파치 웹 서비스 공격 탐지 분석 자료 (0) | 2024.09.23 |
| PHP 취약점 공격 / CVE-2017-9841, CVE-2019-16759 분석 자료 (0) | 2024.09.23 |
| 악성코드 고급 분석의 기초 명령어 설명 (0) | 2024.09.23 |