VMware vCenter publieke PoC CVE-2021-21986

De exploit beschrijft de volgende aanvalstechnieken: Unauthenticated arbitrary file read – middels deze techniek kan een aanvaller willekeurige bestanden downloaden van de lokale schijf van het systeem. Op basis van onze analyse lijkt dit beperkt te zijn tot de gebruiker vsphere-ui die lid is van de groep users. Unauthenticated server-side request forgery (SSRF) – middels deze techniek kan een aanvaller toegang krijgen tot webpagina’s of webportals vanaf de VMware vCenter-server. Dit kan leiden tot privilege-escalation of worden gebruikt voor lateral movement. Unauthenticated cross-site scripting (XSS) – In combinatie met de SSRF-kwetsbaarheid kan een aanvaller toegang krijgen tot een webpagina die JavaScript-bestanden bevat, wat kan leiden tot een XSS-kwetsbaarheid. We vermoeden dat deze exploit mogelijk verband houdt met CVE-2021-21986 op basis van de volgende observaties: VMware vCenter versie 7.0.2.00100 (build 17920168 – update 2a) lijkt de laatste kwetsbare versie te zijn. Vanaf versie 7.0.2.00200 (build 17958471 – update 2b) werkt de Proof-of-Concept exploit niet meer. Het toepassen van de tijdelijke oplossing, specifiek voor de plug-in “VMware Cloud Director Availability”, zoals beschreven in KB83829, voorkomt dat de Proof-of-Concept-exploit werkt. CVE-2021-21986 beschrijft een kwetsbaarheid in het authenticatiemechanisme van specifieke plug-ins, waaronder de plug-in “VMware Cloud Director Availability”. De URL die wordt gebruikt in de Proof-of-Concept-exploit is gerelateerd aan de plug-in “VMware Cloud Director Availability”. Zodra de patch of de tijdelijke oplossing is toegepast, werkt de Proof-of-Concept-exploit niet meer en wordt het bericht ‘HTTP Status 401 – Unauthorized’ geretourneerd door vCenter.