보안정보

글로벌 정보보안 리더 윈스

VMware vCenter EAM id LFI

침해사고분석팀 2021.01.29

VMware vCenter Server Appliance

 

 

VMware vCenter Server에 LFI(Local File Inclusion) 취약점이 존재합니다.

 

VMware vCenter Server는 가상 인프라를 자동화하여 안적적으로 하이브리드 클라우드에 제공할 수 있도록 하기 위한 중앙 집중식 관리 플랫폼입니다.

 

해당 취약점은 id 매개변수를 제대로 검증하지 않아 발생합니다. 원격의 공격자는 해당 매개변수에 서버 내 임의 파일의 상대 경로를 전송하여 공격할 수 있습니다.

 

 

 

취약점 분석

 

해당 취약점은 PT SWARM의 트위터에 최초로 공개되었으며, 취약점에 대한 CVE 코드는 아직까지 할당되지 않았습니다.

 

[그림 1. PT SWARM 트위터]

 

취약한 버전은 VMware vCenter 6.5.0a-f 버전이며, 해당 취약점은 6.5.u1 버전에서 해결되었습니다.

 

 

 

공격 분석

 

취약점의 공격 패킷은 다음과 같습니다.

 

[그림3. 공격 패킷]

 

 

 

취약점 대응 방안

 

1. 최신 버전 사용

 

해당 벤더사에서 발표한 최신의 버전으로 업데이트한다.

 

https://www.vmware.com/products/vcenter-server.html

 

 

2. WINS Sniper 제품군 대응 방안

 

[5348] VMware vCenter EAM id LFI