Поделиться
В VMware Avi Load Balancer найдена высокоопасная уязвимость, позволяющая захватить контроль над базой данных
Уязвимость, оцененная в 8,6 балла по шкале CVSS позволяет осуществить «слепую» SQL-инъекцию и захватить контроль над базой данных.
«Купленная» уязвимость
Компания Broadcom выпустила предупреждение о высокоопасной уязвимости в программном комплексе VMware Avi Load Balancer, которая может обеспечить злоумышленникам доступ к базе данных, расположенной за файерволлом. VMware Avi Load Balancer – это распределенный контроллер приложений, который обеспечивает распределение локальной и глобальной нагрузки на серверы. В него также входят защитные инструменты для приложений и файерволл.
Изначально это было разработкой компании Avi Networks, но в 2019 г. эту компанию и все ее портфолио выкупила VMware. Соответственно, пакет переименовали. Сама VMware была приобретена в 2023 г. компанией Broadcom.
Новая уязвимость проходит по верхней границе высокоопасного диапазона – 8,6 балла по шкале CVSS. В бюллетене Broadcom указывается, что злоумышленник, имеющий доступ к той же сети, в которой располагается VMware Avi Load Balancer, может осуществить «слепую» SQL-инъекцию и тем самым получить доступ к подлежащей базе данных. Для успешной атаки потребуются специально сверстанные SQL-запросы.
В национальной базе уязвимостей США (nvd.nist.gov) уточняется, что проблема связана с некорректной нейтрализацией специальных симоволов, используемых в SQL-команде.
В качестве источника информации VMware названы исследователи Даниэль Кукушка (Daniel Kukuczka) и Матеуш Дарда (Mateusz Darda).
Патчи готовы
Уязвимость затрагивает версии VMware Avi Load Balancer с 30.1.1 по 30.2.2. Версии 21.х и 22.х уязвимости не содержат.
Пользователям версии 30.1.1 потребуется обновиться до 30.1.2, прежде чем устанавливать патч (30.1.2-2p2).
«Это достаточно рядовая оплошность в коде, скорее всего, возникшая в результате использования каких-то сторонних библиотек, не слишком высокого качества, – указывает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Публичной информации о ней – абсолютный минимум, но потенциальные злоумышленники смогут получить нужные им данные из исправляющих патчей, так что затягивать с их установкой пользователям уязвимых версий не стоит».
Обновление до безопасных версий – единственный способ защититься от этого «бага», никаких временных и промежуточных способов нет.
Broadcom купила VMware весной 2022 г. за рекордные для себя $61 млрд. До этого VMware действовала как самостоятельный бизнес, отделившийся от Dell Technologies в 2021 г.
Ценовая политика Broadcom довольно быстро привела к оттоку клиентов VMware, а корпорация AT&T даже подала в суд, обвиняя новых владельцев VMware в нарушении прежних обязательств. Как писало в 2024 г. издание TechSpot, Broadcom вынуждает действующих клиентов VMware принимать новую ценовую политику, поскольку расходы на миграцию инфраструктуры на новый стек виртуализации могут оказаться выше, чем возросшие лицензионные платежи. Особенно болезненным с финансовой точки зрения отказ от ПО VMware может оказаться для представителей малого и среднего бизнеса, не располагающих значительными свободными средствами, которые можно было бы реинвестировать в переход на ПО другого поставщика.
Поделиться
Короткая ссылка
