一个8.6分的高危SSRF漏洞,潜伏在VMware vRealize Operations Manager(vROps)的集群管理API中。攻击者无需任何身份认证,仅需发送一个包含恶意
address参数的JSON请求,即可诱使服务器访问内网敏感资源、窃取云元数据,甚至结合文件上传漏洞直接拿下服务器。该漏洞早在2021年已被公开,但至今仍有大量企业未打补丁。百度云防护WAF内置规则4302(Privilege_bypass.CVE-2021-21975.A)可在流量侧精准拦截此类攻击,为企业争取宝贵的修复窗口。
一、 漏洞核心信息
- CVE编号:CVE-2021-21975
- CVSS 3.1评分:8.6(高危)
- 漏洞类型:服务器端请求伪造
- 受影响产品:VMware vRealize Operations Manager(vROps)
- 影响版本:7.5.0、8.0.0、8.0.1、8.1.0、8.1.1、8.2.0、8.3.0
- 攻击条件:无需认证、无需用户交互
- 利用复杂度:低
- 官方补丁:已发布(VMSA-2021-0004),但大量环境仍未修复
二、 漏洞原理:一个JSON参数引发的“信任危机”
2.1 漏洞位置
该漏洞位于vROps的集群管理API中,具体路由为 /nodes/thumbprints。该接口原本用于收集集群节点的SSL指纹信息,接收POST请求中的JSON数据,结构如下:
{"address": ["目标IP或域名"]}2.2 缺陷根源
后端处理程序 ClusterDefinitionController 中的 HttpMapFunction 会直接使用用户提供的 address 参数发起HTTP GET请求,未对参数进行任何合法性校验。攻击者可以将 address 设置为:
- 云元数据地址:
http://169.254.169.254/latest/meta-data/ - 内网敏感服务:
http://192.168.1.1:8080/admin - 特殊协议:
gopher://、dict://、file://等
服务器以自己的身份去请求这些目标,从而成为攻击者的“内网跳板”。
2.3 攻击链演进(从信息泄露到服务器沦陷)
| 阶段 | 操作 | 危害 |
|---|---|---|
| 信息收集 | 向内网IP段发送SSRF请求,探测存活主机和开放端口 | 绘制内网拓扑,定位高价值目标 |
| 窃取云凭证 | 访问云元数据接口(如AWS/阿里云/腾讯云的 169.254.169.254) | 获取临时AK/SK,控制企业云上资产 |
| 组合漏洞 | 配合CVE-2021-21983(vROps任意文件上传漏洞) | 写入JSP Webshell,直接获得服务器控制权 |
全程无需任何认证,仅需一个HTTP请求即可启动整个攻击链。
三、 为什么打了补丁还是防不住?
- 补丁落地周期长:生产环境升级vROps需要停机维护、兼容性测试,实际操作常耗时数周甚至数月。
- 攻击自动化:该漏洞的PoC/EXP早已公开,并被集成到扫描器(如 nuclei)中,自动化攻击成本极低。
- 忽视旧版本:许多企业仍在运行7.5.x或8.0.x等已停止维护的版本,官方不再提供补丁支持。
结论:仅依赖官方补丁存在巨大的“空窗期”。在网络层部署WAF是弥补这一空窗期的最有效手段。
四、 百度云防护WAF:不升级代码,也能拦截SSRF攻击
4.1 规则4302已上线,开箱即用
根据百度云防护最新内置规则库截图,针对CVE-2021-21975的专项防御规则已上线:
| 规则名称 | 规则ID | 风险等级 | 防护类型 | 更新时间 |
|---|---|---|---|---|
| Privilege_bypass.CVE-2021-21975.A | 4302 | 中风险 | 权限绕过 | 2026-05-11 18:00:09 |
接入WAF后,基础防护引擎默认开启该规则,无需任何手动配置。
4.2 规则4302的检测逻辑
- API路径匹配:检测对
/nodes/thumbprints等敏感路径的POST请求。 - JSON深度解析:解析Body中的
address参数,识别其中是否包含:
- 内网IP段(
10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、127.0.0.0/8) - 云元数据地址(
169.254.169.254) - 特殊协议(
gopher://、file://、dict://等)
- 解码绕过防护:自动解码URL编码、双重编码、Unicode编码,使任何混淆手法失效。
- 联动拦截:匹配成功后直接返回403,请求永不抵达后端vROps服务。
4.3 验证规则是否生效
登录百度云防护控制台 → 防护配置 → Web防护 → 内置规则,搜索规则ID 4302。确认状态为“开启”,处置动作为“拦截”(若为“观察”,请手动修改为“拦截”)。
五、 通用SSRF防御:规则4195作为“第二道防线”
除了针对CVE-2021-21975的专项规则,百度云防护还内置了通用SSRF检测规则(SSRF.target_protocol.A,规则ID 4195),可拦截各类高危协议(file://、gopher://、dict://等)和内网地址探测行为。即使未来出现未知SSRF变种,该规则也能起到兜底拦截作用。
六、 企业综合修复建议
| 优先级 | 措施 | 说明 |
|---|---|---|
| 紧急 | 开启百度云防护WAF,确认规则4302生效 | 立即获得虚拟补丁,阻断攻击流量 |
| 高 | 升级vROps至安全版本(8.6+) | 根源修复,需评估兼容性 |
| 中 | 限制API访问来源IP | 在防火墙或负载均衡器中仅允许可信IP访问 /nodes/thumbprints |
| 中 | 审计历史日志 | 检查是否已有异常请求记录,排查是否被入侵 |
七、 总结
CVE-2021-21975是一个典型的“旧洞新用”高危漏洞。由于大量VMware环境仍未打补丁,它仍然是黑客进入内网的重要跳板。百度云防护WAF规则4302在不修改任何代码、不中断业务的前提下,为vROps提供了即时可用的“虚拟补丁”。配合通用SSRF规则4195,可形成从专项到通用的纵深防御体系。
如果你正在使用VMware vROps且无法立刻升级,或担心内网资产被SSRF攻击穿透,欢迎联系主机吧。我们提供免费安全评估和百度云防护WAF接入指导,帮助你在补丁空窗期守住防线。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让每一次SSRF攻击都无处遁形,让每一台虚拟化服务器都固若金汤。
