Спецпроекты

Безопасность Облака

Бреши в ПО VMware для ЦОДов и облаков открыли хакерам путь для захвата ИТ-систем

Критический баг, позволявший запускать произвольный код удаленно в среде VMware Carbon Black Cloud Workload, исправлен. Еще две проблемы, унаследованные от другого ПО, остались пока без исправлений.

Работа над ошибками

VMware исправила серию значимых уязвимостей в своих разработках для ЦОДов и облачных платформ. Впрочем, остались еще две, для которых патчей еще нет.

В частности, исправлен баг CVE-2021-21982 в VMware Carbon Black Cloud Workload, который позволяет обходить авторизацию. Упомянутая разработка — это инструмент обеспечения кибербезопасности ресурсов в виртуальных средах, использующий систему обнаружения и реагирования на киберугрозы в конечных точках (EDR), антивирусные средства следующего поколения и другие защитные средства.

Однако злоумышленник, произведя некоторые манипуляции с URL в административной панели CBCW, может обойти авторизацию, точнее, получить валидный токен аутентификации и открыть себе доступ к административному API, чтобы затем просматривать и изменять административные настройки. Эксплуатация может быть произведена удаленно.

vmvare600.jpg
VMware исправила половину свежевыловленных уязвимостей

Уязвимость получила критический статус — 9,1 балла из 10 по шкале CVSS. Она затрагивает все версии VMware Carbon Black Cloud Workload до версии 1.0.1 включительно.

Единственный на данный момент способ уменьшить угрозу от уязвимости, кроме, естественно, установки нововыпущенного патча, — это максимально ограничить доступ к административному интерфейсу CBCW, тем более, что для нормальной работы этого решения открытый доступ и не требуется.

Недоработка над ошибками

Кроме того, выявлены были две уязвимости в другой платформе VMware — vRealizeOperationsManager, системы управления ИТ-операциями в облачных средах.

Эти уязвимости, на самом деле, унаследованы от платформы (фреймворка) для дата-центров Salt (также известный как SaltStack), в которой недавно были выявлены уязвимости обхода каталога (CVE-2020-11651) и обхода авторизации (CVE-2020-11652), с помощью комбинации из которых можно запускать на серверах с доступом из Сети произвольный код.

Эти уязвимости уже активно атакуются злоумышленниками: с помощью багов на серверы устанавливаются криминальные майнеры и бэкдоры. Среди пострадавших — LineageOS, Ghost и DigiCert.

В VMware vROps 7.5, в модуле Application Remote Collector (ARC) используется фреймворк Salt, и его уязвимости становятся проблемой и для операторов решения VMware. В самой компании оценили угрозу от CVE-2020-11651 в максимальные 10 баллов, от CVE-2020-11652 — в 7,5 балла.

Уязвимости затрагивают vROps версий 8.1.0, 8.0.x и 7.5.0. Патчи еще не выпущены, но предлагаются промежуточные решения.

«VMware регулярно исправляет большое количество ошибок в своих разработках, но это как раз плюс, — отмечает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Портфолио VMware огромно, количество ошибок в абсолютных цифрах — соответствующее и едва ли не превышающее средние показатели у фирм с подобным диапазоном разработок. И то, что работа над ошибками проводится регулярно, говорит скорее о том, что к безопасности в VMware относятся с должным уровнем внимания. Хотя, конечно, он мог быть и выше».

Роман Георгиев

Короткая ссылка