超高危險性 CVE-2021-22005 vCenter漏洞影片示範

最近被評分為 CVSS 9.8/10 的VMware vCenter漏洞.
官方雖然有公告跟補丁了,不過一直沒有POC攻擊程式放出.
越南資安專家 @testanull 一貫以分析原廠補丁作風（如Exchange ProxyLogon漏洞),分析出1 day漏洞原理,並且立刻實作出半實驗品POC(攻擊程式) .

攻擊有二個步驟
1.VC有啟動了VMware 客戶經驗改進計畫 (CEIP) ,可以上傳檔案,內容和路徑可以任意修改，但檔案名必須有擴展名“.json”，不能寫web shell並執行！
2.任意 ˋ建立Web Shell
繞過rhttpproxy跟結合端點“/dataapp/agent”的漏洞,調用GLOBAL-logger 1.將日誌路徑設置為任意檔案
2.通過日誌記錄編寫 web shell
3.關閉日誌紀錄檔案並恢復.

POC （不太完整)
https://gist.github.com/testanull/c2f6fd061c496ea90ddee151d6738d2e

修補方法
https://www.vmware.com/security/advisories/VMSA-2021-0020.html

影片與內容出處 (越南文)
https://testbnull.medium.com/quick-note-of-vcenter-rce-cve-2021-22005-4337d5a817ee

#OSSLab ＃所以啥客戶體驗計畫我都關光光的

最近新聞報導:國教署學習歷程檔案(類似高中三年成績單)遺失損毀。計有學校81校、學生7,854人、資料2萬5,210件.
發生原因為某大學團隊為了資安,將系統搬移到新機房運作十餘天之後，因系統更新而重新開機
(因其中有三台硬碟在一開始建立時，模式設定錯誤，系統更新重新開機後，硬碟被還原" "並且沒有做異地備份")

就新聞字義上 OSSLab Geek Lab推判
為了讓重新開機機器恢復到初始資料 (類似還原卡功能),把VM硬碟格式設定為"獨立非持續性".
這樣當關閉或重設虛擬機器時，當下run快照檔將會刪除。
在VMFS6上其快照檔案格式為 vmdk-sesparse.REDO
(當VM關機後 如圖已經驗證過 確實在VM關機狀況下 此檔案立刻會被刪除, 如果是這樣狀況,是當初架設規劃或動到的人規劃錯誤.. )。

其實虛擬化檔案系統VMFS 在thin 格式時候需要做容量回收。
因此vm檔案(VMDK) 在當初意外發生時後,其實有很大機率可以恢復成功.但根據新聞系統 9.5 就開始出問題..到現在已經超過 21天,處理此狀況變得異常複雜。
如果當下把這原始LUN立刻Unmount,確實dd備份好 ,自己處理不行後,把原始LUN再交給專業資料救援公司.相信成功機率一定非常高。

更多VMware救援真實案例
https://www.osslab.com.tw/?s=vmfs

#OSSLab #專業的來 #成績單

買桌機、組桌機，一般去某屋估價就可以了!
那伺服器呢?
伺服器並不像一般電腦那樣方便且措手可得。
還有原廠規格大多比較硬，客製化彈性有限。
對於一般中小企業來說，初次購置的壓力較大。

怕伺服器價格不透明、被貴到，
花了大錢組裝卻不如預期。
想客製化，但因規格限制而換不了，
或灌系統有相容性問題，不得不再買配件來解決嗎?

相信上述可能是大家採購伺服器時的痛點，
以下就帶大家來破解伺服器的採購迷思。

老司機請帶我入行 ==> https://www.osslab.com.tw/buy-server-from-osslab/

#Server #customized