-
27/04/2017
-
29
-
76 bài viết
VMware vá lỗi tiết lộ thông tin đăng nhập quản trị CF API trong nhật ký kiểm tra hệ thống
VMware vừa giải quyết một lỗ hổng tiết lộ thông tin trong VMware Tanzu Application Service for VMs (TAS for VMs) và Isolation Segment do thông tin đăng nhập được ghi lại và tiết lộ qua nhật ký kiểm tra hệ thống.
TAS for VMs giúp các doanh nghiệp tự động triển khai ứng dụng trên nhiều môi trường, bao gồm trên cơ sở hoặc trên đám mây công cộng và riêng tư (ví dụ như vSphere, AWS, Azure, GCP, OpenStack).
Lỗ hổng được định danh CVE-2023-20891 cho phép kẻ tấn công từ xa có đặc quyền thấp truy cập vào các thông tin đăng nhập quản trị Cloud Foundry API trên các hệ thống chưa được vá lỗi, thông qua các cuộc tấn công đơn giản mà không yêu cầu tương tác của người dùng.
Nguyên nhân tồn tại lỗ hổng là do trên các phiên bản TAS for VMs chưa được vá lỗi, các thông tin đăng nhập quản trị CF API được mã hóa theo dạng hex và được ghi vào nhật ký kiểm tra hệ thống của nền tảng.
Những kẻ tấn công khai thác lỗ hổng CVE-2023-20891 có thể sử dụng thông tin đăng nhập đã đánh cắp để đưa các phiên bản ứng dụng độc hại vào hệ thống.
VMware cho biết: "May mắn là người dùng bình thường không có quyền quản trị thì sẽ không có quyền truy cập vào nhật ký kiểm tra hệ thống trong cấu hình triển khai tiêu chuẩn".
Thay đổi mật khẩu của người quản trị bằng tiện ích uaac là không đủ, vì nó chỉ cập nhật mật khẩu trong UAA. Điều này khiến Operations Manager không đồng bộ và có thể gây ra lỗi trong các công việc và nhiệm vụ.
Tháng trước, VMware đã xử lý các lỗi an ninh nghiêm trọng trên vCenter Server, những lỗi này cho phép kẻ tấn công thực thi mã và vượt qua cơ chế xác thực để xâm nhập vào hệ thống.
Hãng cũng đồng thời vá một lỗ hổng zero-day trên ESXi bị khai thác bởi nhóm tin tặc được cho là có liên quan đến Trung Quốc nhằm đánh cắp dữ liệu.
Gần đây, VMware đã cảnh báo khách hàng mã khai thác (PoC) cho một lỗ hổng nghiêm trọng liên quan đến thực thi mã từ xa (RCE) xuất hiện trong công cụ phân tích VMware Aria Operations dùng cho phân tích nhật ký hệ thống.
TAS for VMs giúp các doanh nghiệp tự động triển khai ứng dụng trên nhiều môi trường, bao gồm trên cơ sở hoặc trên đám mây công cộng và riêng tư (ví dụ như vSphere, AWS, Azure, GCP, OpenStack).
Lỗ hổng được định danh CVE-2023-20891 cho phép kẻ tấn công từ xa có đặc quyền thấp truy cập vào các thông tin đăng nhập quản trị Cloud Foundry API trên các hệ thống chưa được vá lỗi, thông qua các cuộc tấn công đơn giản mà không yêu cầu tương tác của người dùng.
Nguyên nhân tồn tại lỗ hổng là do trên các phiên bản TAS for VMs chưa được vá lỗi, các thông tin đăng nhập quản trị CF API được mã hóa theo dạng hex và được ghi vào nhật ký kiểm tra hệ thống của nền tảng.
Những kẻ tấn công khai thác lỗ hổng CVE-2023-20891 có thể sử dụng thông tin đăng nhập đã đánh cắp để đưa các phiên bản ứng dụng độc hại vào hệ thống.
VMware cho biết: "May mắn là người dùng bình thường không có quyền quản trị thì sẽ không có quyền truy cập vào nhật ký kiểm tra hệ thống trong cấu hình triển khai tiêu chuẩn".
Khuyến cáo thay đổi thông tin đăng nhập quản trị
VMware khuyến cáo tất cả người dùng TAS for VMs bị ảnh hưởng bởi lỗ hổng CVE-2023-20891:- Thay đổi ngay thông tin đăng nhập quản trị của CF API để đảm bảo rằng các kẻ tấn công không thể sử dụng các mật khẩu bị rò rỉ để xâm nhập vào hệ thống.
- Cung cấp hướng dẫn chi tiết về việc thay đổi thông tin đăng nhập quản trị của UAA trong một tài liệu hỗ trợ.
Thay đổi mật khẩu của người quản trị bằng tiện ích uaac là không đủ, vì nó chỉ cập nhật mật khẩu trong UAA. Điều này khiến Operations Manager không đồng bộ và có thể gây ra lỗi trong các công việc và nhiệm vụ.
Tháng trước, VMware đã xử lý các lỗi an ninh nghiêm trọng trên vCenter Server, những lỗi này cho phép kẻ tấn công thực thi mã và vượt qua cơ chế xác thực để xâm nhập vào hệ thống.
Hãng cũng đồng thời vá một lỗ hổng zero-day trên ESXi bị khai thác bởi nhóm tin tặc được cho là có liên quan đến Trung Quốc nhằm đánh cắp dữ liệu.
Gần đây, VMware đã cảnh báo khách hàng mã khai thác (PoC) cho một lỗ hổng nghiêm trọng liên quan đến thực thi mã từ xa (RCE) xuất hiện trong công cụ phân tích VMware Aria Operations dùng cho phân tích nhật ký hệ thống.
Theo Bleeping Computer
Chỉnh sửa lần cuối bởi người điều hành: