VMware sửa lỗi cho phép lấy cắp thông tin đăng nhập quản trị viên

[WhiteHat News #ID:3333]

VMware đã phát hành các bản cập nhật vá lỗ hổng nghiêm trọng trong vRealize Operations, có thể cho phép hacker lấy cắp thông tin đăng nhập quản trị viên sau khi khai thác các máy chủ tồn tại lỗ hổng.
vRealize Operations là giải pháp quản lý hoạt động CNTT "tự lái" và vận hành bằng AI, thích hợp sử dụng cho các môi trường riêng tư, hỗn hợp và đa đám mây. Sản phẩm được cung cấp dưới dạng giải pháp tại chỗ hoặc SaaS.
Lỗ hổng được nhà nghiên cứu bảo mật web Egor Dimitrenko của Positive Technologies phát hiện và báo cáo cho VMware.

Lỗ hổng có số hiệu CVE-2021-21975, tồn tại do lỗi yêu cầu giả mạo phía máy chủ (Server-Side Request Forgery) trong API quản lý của vRealize Operations.
Những kẻ tấn công có thể khai thác lỗ hổng bảo mật từ xa mà không yêu cầu xác thực hoặc tương tác của người dùng, qua đó đánh cắp thông tin đăng nhập quản trị.
VMware đánh giá lỗ hổng bảo mật có mức độ nghiêm trọng cao và cho điểm nghiêm trọng là 8,6 trên 10.
VMware cũng đã phát hành hướng dẫn cho những quản trị viên không muốn hoặc không thể vá ngay lập tức các máy chủ đang chạy các phiên bản vRealize Operations có lỗi (ví dụ: không có bản vá cho phiên bản của họ).
Để khắc phục sự cố này, bạn sẽ phải xóa dòng cấu hình khỏi tệp casa-security-context.xml và khởi động lại dịch vụ CaSA trên thiết bị bị ảnh hưởng.

Theo: bleepingcomputer​