安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
VMware Cloud Director漏洞对云提供商产生重大影响
2020-06-03 10:27:27 【

网络安全公司Citadelo周一透露,最近修补的影响VMware Cloud Director的漏洞对云服务提供商产生了重大影响,因为它可以使攻击者完全控制托管在同一基础结构上的所有私有云。

该漏洞由CVE-2020-3956跟踪,由VMware上个月披露供应商将其描述为一个重要的严重性问题,它使经过身份验证的攻击者可以执行任意代码。在4月1日发布初始漏洞报告大约一个月后,发布了第一个补丁。

研究人员发现了该漏洞的Citadelo在周一发布了一篇博客文章,描述了安全漏洞以及概念验证(PoC)漏洞

据网络安全公司称,它在对《财富》 500强客户进行安全审核时发现了这一弱点。Citadelo研究人员发现,经过身份验证的攻击者可以通过API调用或Web界面将特制流量发送到Cloud Director,从而利用此漏洞。

由于存在此漏洞,使用VMware Cloud Director的各种类型的组织都容易受到攻击,包括公共和私有云提供商,企业和政府组织。

Citadelo认为,该漏洞对云提供商构成最大的风险,特别是对提供试用的提供商而言,因为攻击者可以请求试用并使用访问权限发起攻击。

在测试期间,研究人员利用此漏洞访问内部系统数据库(包括同一基础结构中所有客户的哈希密码),从其他客户那里窃取虚拟机,将特权升级为系统管理员(可以访问所有云帐户),修改Cloud Director登录页面以仿冒网络钓鱼凭据,并获取其他客户的信息。

在演示该漏洞的视频中,Citadelo演示了攻击者如何通过使用此漏洞更改系统管理员的密码来访问同一基础结构中的所有云。


VMware上周通知客户,它修复了先前补丁引入的 Fusion for macOS中的严重特权升级漏洞


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇VMware修补了云服务交付平台中的.. 下一篇VMware修复了先前补丁引入的融合..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800