Το VMware διορθώνει σφάλματα που αποκαλύπτουν τα διαπιστευτήρια διαχειριστή του CF API στα αρχεία καταγραφής ελέγχου
Η VMware έχει επιδιορθώσει ένα θέμα ευπάθειας αποκάλυψης πληροφοριών στο VMware Tanzu Application
Service
για VM (TAS για VM) και το τμήμα απομόνωσης που προκαλείται από την καταγραφή και την έκθεση διαπιστευτηρίων μέσω αρχείων καταγραφής ελέγχου συστήματος.
Το TAS για VM βοηθά τις επιχειρήσεις να αυτοματοποιήσουν την ανάπτυξη εφαρμογών σε εσωτερική εγκατάσταση ή δημόσια και ιδιωτικά
cloud
(π.χ. vSphere, AWS, Azure, GCP, OpenStack).
Παρακολούθηση ως CVE-
2023
-20891, το ελάττωμα ασφαλείας που αντιμετωπίζει σήμερα η Vmware θα επέτρεπε σε απομακρυσμένους εισβολείς με χαμηλά προνόμια να έχουν πρόσβαση στα διαπιστευτήρια διαχειριστή του Cloud Foundry API σε μη επιδιορθωμένα συστήματα σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.
Αυτό συμβαίνει επειδή, σε παρουσίες μη επιδιορθωμένων TAS για VM, τα διαπιστευτήρια διαχειριστή CF API με δεκαεξαδική κωδικοποίηση καταγράφονται στα αρχεία καταγραφής ελέγχου συστήματος πλατφόρμας.
Οι φορείς απειλών που εκμεταλλεύονται αυτήν την ευπάθεια μπορούν να χρησιμοποιήσουν τα κλεμμένα διαπιστευτήρια για να προωθήσουν εκδόσεις κακόβουλων εφαρμογών.
“Ένας κακόβουλος χρήστης που δεν είναι διαχειριστής που έχει πρόσβαση στα αρχεία καταγραφής ελέγχου του συστήματος της πλατφόρμας μπορεί να αποκτήσει πρόσβαση σε διαπιστευτήρια διαχειριστή CF API με δεκαεξαδική κωδικοποίηση και μπορεί να προωθήσει νέες κακόβουλες εκδόσεις μιας εφαρμογής”, λέει η VMware.
Ευτυχώς, όπως επισημαίνεται από το VMware, οι χρήστες που δεν είναι διαχειριστές δεν έχουν πρόσβαση στα αρχεία καταγραφής ελέγχου συστήματος σε τυπικές διαμορφώσεις ανάπτυξης.
Συνιστάται εναλλαγή διαπιστευτηρίων διαχειριστή
Ωστόσο, η εταιρεία εξακολουθεί να συμβουλεύει όλους τους χρήστες VM για VM που επηρεάζονται από το CVE-2023-20891 να εναλλάσσουν τα διαπιστευτήρια διαχειριστή του CF API για να διασφαλίσουν ότι οι εισβολείς δεν μπορούν να χρησιμοποιήσουν τυχόν κωδικούς πρόσβασης που έχουν διαρρεύσει.
Το VMware παρέχει λεπτομερείς οδηγίες σχετικά με την αλλαγή των διαπιστευτηρίων διαχειριστή του λογαριασμού χρήστη Cloud Foundry και του ελέγχου ταυτότητας (UAA) στο
αυτό το έγγραφο υποστήριξης
.
“Το TAS δεν υποστηρίζει επίσημα την αλλαγή του κωδικού πρόσβασης χρήστη διαχειριστή UAA. Οι παραπάνω οδηγίες δεν έχουν δοκιμαστεί επίσημα ως μέρος της σουίτας δοκιμών του Operations Manager, επομένως χρησιμοποιήστε τις με δική σας ευθύνη”, προειδοποιεί η VMware.
“Μπορεί να είναι δελεαστικό να αλλάξετε τον κωδικό πρόσβασης του χρήστη διαχειριστή με το βοηθητικό πρόγραμμα uaac. Δυστυχώς, αυτό δεν είναι αρκετό γιατί θα ενημερώσει μόνο τον κωδικό πρόσβασης του χρήστη διαχειριστή στο UAA. Αυτό αφήνει το Operations Manager εκτός συγχρονισμού και μπορεί να προκαλέσει αποτυχία εργασιών και θελημάτων.”
Τον περασμένο μήνα, η VMware αντιμετώπισε σφάλματα υψηλής σοβαρότητας του vCenter Server που επιτρέπουν την εκτέλεση κώδικα και την παράκαμψη ελέγχου ταυτότητας.
Διόρθωσε επίσης ένα ESXi zero-day που εκμεταλλεύτηκε μια ομάδα
hacking
που χρηματοδοτήθηκε από την Κίνα για να παραθέσει εικονικές μηχανές
Windows
και Linux σε επιθέσεις κλοπής δεδομένων.
Πιο πρόσφατα, η εταιρεία προειδοποίησε τους πελάτες ότι ο κώδικας εκμετάλλευσης είναι πλέον διαθέσιμος για μια κρίσιμη ευπάθεια RCE στο εργαλείο ανάλυσης VMware Aria Operations for Logs.
