VMware vCenter EAM id LFI 침해사고분석팀 2021.01.29 |
|
VMware vCenter Server에 LFI(Local File Inclusion) 취약점이 존재합니다.
VMware vCenter Server는 가상 인프라를 자동화하여 안적적으로 하이브리드 클라우드에 제공할 수 있도록 하기 위한 중앙 집중식 관리 플랫폼입니다.
해당 취약점은 id 매개변수를 제대로 검증하지 않아 발생합니다. 원격의 공격자는 해당 매개변수에 서버 내 임의 파일의 상대 경로를 전송하여 공격할 수 있습니다.
취약점 분석
해당 취약점은 PT SWARM의 트위터에 최초로 공개되었으며, 취약점에 대한 CVE 코드는 아직까지 할당되지 않았습니다.
[그림 1. PT SWARM 트위터]
취약한 버전은 VMware vCenter 6.5.0a-f 버전이며, 해당 취약점은 6.5.u1 버전에서 해결되었습니다.
공격 분석
취약점의 공격 패킷은 다음과 같습니다.
[그림3. 공격 패킷]
취약점 대응 방안
1. 최신 버전 사용
해당 벤더사에서 발표한 최신의 버전으로 업데이트한다.
https://www.vmware.com/products/vcenter-server.html
2. WINS Sniper 제품군 대응 방안
[5348] VMware vCenter EAM id LFI
|