3

vCENTER SERVER APPLIANCE – CVE-2021-44228 y CVE-2021-45046 – Remote code execution vulnerability via Apache Log4j

Hola a tod@s.

En este post vamos a ver como corregir una vulnerabilidad crítica en Apache Log4j identificada por CVE-2021-44228 y CVE-2021-45046 que puede permitir la ejecución remota de código en VMware, esto ya está documentado en una KB de VMware, pero bueno, aquí os lo dejo de manera más gráfica, por si os viene bien.

CVE-2021-44228 y CVE-2021-45046 – Remote code execution vulnerability via Apache Log4j

PASO 1:

  • Ahora accedemos a la Shell de nuestro vCenter Server Appliance:

  • Accedemos al dircetorio /tmp y con el editor vi nos creamos el fichero vmsa-2021-0028-kb87081.py:

  • Una vez dentro del editor vi tecleamos i para insertar texto y copiamos el contenido del script que nos hemos descargado:

  • Presionamos ESC y :wq! y Enter para guardar el script:

  • Ejecutamos el script utilizando el comando Python /tmp/vmsa-2021-0028-kb87081.py:

  • Y como podemos ver todo perfecto, ya tenemos el parche aplicado a la vulnerabilidad de log4j:

PASO 2:

  • Accedemos a la Shell de nuestro vCenter Server Appliance:

  • Para habilitar el bash shell antes de empezar a usar WinSCP ejecutamos este comando shell.set –enable True:

  • Ejecutamos este comando para acceder al bash shell shell:

  • En el bash shell, ejecutamos este comando para cambiar el shell por defecto a bash chsh -s /bin/bash root:

  • Ahora accedemos con WinSCP a nuestro vCenter Server Apppliance y cómo podemos ver se accede directamente al bash:

  • Subimos el script remove_log4j_class.py al directorio /tmp del vCenter Server Appliance:

  • Ejecutamos el script python remove_log4j_class.py:

  • Como podemos ver, todo el proceso se ha realizado correctamente:

  • Para volver al Appliance Shell al iniciar sesión de nuevo, ejecutamos este comando chsh -s /bin/appliancesh root:

  • Y como vemos, al iniciar sesión de nuevo en nuestro vCenter Server Appliance nos abre el Appliance Shell como al principio:

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

3 comentarios

  1. Saludos, buen articulo. Recuerda que han publicado un segundo parche que hay que aplicar tambien.

    Un abrazo

  2. Buenas tardes, Jorge una consulta esto afecta a los equipos que se encuentran operativos en el VMWARE o en que me podría afectar a mi ambiente de Produccion

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.