首页保安VMware Cloud Director:允许基础架构访问的错误!

VMware Cloud Director:允许基础架构访问的错误!

最近,其安全研究人员 奇塔代洛 在VMware Cloud Director中发现了一个新错误,这是最重要的错误 平台 云服务,这可以使入侵者获得对敏感数据的访问权并进行私有控制 在基础架构中。 安全研究人员已将错误标识为CVE-2020-3956,声称它是典型的注入。 代码 导致恶意注入或代码输入。

入侵者可以利用此安全错误来发送恶意文件 交通 到Cloud Director,导致任意代码执行。 此外,此安全性错误(由研究人员发现且严重等级为8,8 / 10)非常危险。 VMware Cloud Director是一个流行的分发平台,用于管理和组织云资源,使公司可以访问分布在不同地理区域的数据中心。

换句话说, 入侵者 可以利用此错误进行代码执行攻击,并从技术上接管连接到提供的基础架构的所有私有云。 安全公司Citadelo在为客户进行安全检查后,于1月XNUMX日发现了该错误。 但是,由于该工具已被全球许多公司使用,因此使该问题变得十分紧迫和紧迫。 此安全错误会影响VMware Cloud Director在 版本 10.1.0及更低版本,以及vCloud Director 8x-10x(配置中) Linux的 和PhotonOS设备。 另外,可以通过HTML5,基于Flex的UI,API Explorer界面和API访问来使用此错误。 以下受此安全错误影响:

  • 使用VMware vCloud Director的公共云提供商。
  • 使用VMware vCloud Director的私有云提供商。
  • 使用VMware vCloud Director技术的企业。
  • 使用VMware Cloud Director的任何政府服务。

此安全错误使攻击者可以执行以下操作:

  • 查看系统内部数据库的所有关键内容。
  • 修改它 数据库 用于访问分配给不同组织的虚拟机(VM)的系统。
  • 将权限从“组织管理员”扩展到“系统管理员”,并可以访问所有云帐户。
  • 更改Cloud Director登录页面。
  • 访问其他敏感数据,例如全名,地址 邮箱地址 和IP客户地址。
  • 使用加密漏洞,入侵者可以查看内部数据库的机密数据,例如提供给信息系统客户的密码。

但是,在发现这些发现之后,安全研究人员直接在VMware官方网站上宣布了他们的结果,与此同时,该公司迅速做出反应,通过对9.1.0.4、9.5.0.6、9.7.0.5进行了一系列更新来纠正安全漏洞。和10.0.0.2。 因此,尚未实施此功能的组织 信息 代码仍然容易受到此错误的影响。

波哈康塔斯https://www.secnews.gr
每一项成就都始于尝试的决定。
spot_img

实时新闻