VMware 远程命令执行(CVE-2021-21972)漏洞验证

一、漏洞介绍 [出自:jiwo.org]

vSphere 是 VMware 推出的虚拟化平台套件，包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心，可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机，使得 IT 管理员能够提高控制能力，简化入场任务，并降低 IT 环境的管理复杂性与成本。

vSphere Client（HTML5）在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求，从而在服务器上写入 webshell，最终造成远程任意代码执行。

二、影响版本

VMware vCenter Server 7.0系列 < 7.0.U1c

VMware vCenter Server 6.7系列 < 6.7.U3l

VMware vCenter Server 6.5系列 < 6.5 U3n

VMware ESXi 7.0系列 < ESXi70U1c-17325551

VMware ESXi 6.7系列 < ESXi670-202102401-SG

VMware ESXi 6.5系列 < ESXi650-202102101-SG

三、漏洞验证

exp链接：https://github.com/NS-Sp4ce/CVE-2021-21972

python3 CVE-2021-21972.py -url 目标地址

木马文件地址和连接密码已经给出，冰蝎连接

四、漏洞修复

升级到安全版本：

vCenter Server 7.0 版本升级到 7.0.U1c

vCenter Server 6.7版本升级到 6.7.U3l

vCenter Server 6.5版本升级到 6.5 U3n