Caution

This post contains description and/or code about security vulnerability. All the information has been collected from various sources. The description and/or explanation were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or mis-understand. I respect the copyright of every articles and their policies. so I am trying to keep it. Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

이 글은 본문에 실제 공격 가능한 보안 취약점에 대한 설명과 코드를 포함하고 있습니다.
보안 취약점에 대한 설명, 개념증명 코드에 대한 주석에서 오역이 있을 수 있습니다.
본 글에서 다루는 방법, 코드가 최근의 내용이 아닐 수 있습니다.
저작권을 지키기 위해 원문 내용을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 글 아래 링크를 참고하시고, 다른 기술 문서를 함께 확인하세요.

CVE-2023-20887

VMWare Remote-Code-Execution Vulnerability

Summaries

VMWare Aria Operations for Networks 에서 원격 코드 실행 취약점이 발견되었다.
취약점은 CVE-2023-20887 이며, 사용자 인증 없이 취약 시스템의 쉘을 획득할 수 있다.
취약점에 대한 분석 문서와 함께 개념 증명 코드가 함께 Github를 통해 공개되었다.

Vulnerability Analysis

CVE-2023-20887 취약점은 VMWare Aria Operations for Networks 시스템 구성요소 중 nginx 환경설정에서 비롯한다.

server {
    location /saasresttosaasservlet {
        allow 127.0.0.1;
        deny all;
        rewrite ^/saas(.*)$ /$1 break;
        proxy_pass http://127.0.0.1:9090;
        중략
    }
    location /saas {
        rewrite ^/saas(.*)$ /$1 break;
        proxy_pass http://127.0.0.1:9090;
        중략
    }
}

nginx 환경설정의 룰에 따라 https://VMHOST/saasresttosaasservlet 에 대한 접근은 127.0.0.1 루프백에서만 접근이 가능하다. 하지만 그 뒤의 룰을 이용해 https://VMHOST/sass./resttosaasservelt 과 같이 URI 경로 조작시, nginx의 rewrite 룰이 적용되며 https://VMHOST/./resttosaasservlet 으로 인식해 해당 URI에 접근이 가능하다.

Advisory from VMWare

VMWare에서는 해당 취약점이 패치된 버젼을 릴리즈 했으므로, 참고하여 업데이트를 적용하면 되겠다.

_[VMWare.com]https://www.vmware.com/security/advisories/VMSA-2023-0012.html

Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks