Lỗi giám đốc đám mây VMware quan trọng có thể cho phép tin tặc chiếm toàn bộ cơ sở hạ tầng đám mây

VMware

Công ty công nghệ ảo hóa và điện toán đám mây VMWare hôm thứ Năm đã tung ra bản cập nhật để giải quyết một lỗ hổng bảo mật quan trọng trong sản phẩm Cloud Director có thể được vũ khí hóa để khởi động các cuộc tấn công .

Sự cố, đã chỉ định số nhận dạng CVE-2022-22966có điểm CVSS là 9,1 trên tổng số tối đa là 10. VMware đã ghi công cho nhà nghiên cứu bảo mật Jari Jääskelä về việc báo cáo lỗ hổng.

“Một tác nhân độc hại đã được xác thực, có đặc quyền cao có quyền truy cập mạng vào người thuê hoặc nhà cung cấp VMware Cloud Director có thể khai thác lỗ hổng thực thi mã từ xa để giành quyền truy cập vào máy chủ,” VMware cho biết trong một lời khuyên.

VMware Cloud Director, trước đây được gọi là vCloud Director, được nhiều nhà cung cấp đám mây nổi tiếng sử dụng để vận hành và quản lý đám mây của họ và có được khả năng hiển thị vào các trung tâm dữ liệu trên các trang web và khu vực địa lý.

Nói cách khác, lỗ hổng bảo mật có thể cho phép những kẻ tấn công có quyền truy cập vào dữ liệu nhạy cảm và chiếm lấy các đám mây riêng tư trong toàn bộ cơ sở hạ tầng.

Các phiên bản bị ảnh hưởng bao gồm 10.1.x, 10.2.x và 10.3.x, với các bản sửa lỗi có sẵn trong các phiên bản 10.1.4.1, 10.2.2.3 và 10.3.3. Công ty cũng đã xuất bản các giải pháp thay thế có thể được tuân theo khi nâng cấp lên phiên bản được đề xuất không phải là một tùy chọn.

Xem tiếp:   Các thiết bị y tế có nguy cơ bị tấn công bằng Ransomware không?

Các bản vá đến một ngày sau khi các lần khai thác một lỗ hổng quan trọng khác đã được sửa gần đây trong VMware Workspace ONE Access được phát hiện trong tự nhiên.

Lỗ hổng (CVE-2022-22954) liên quan đến lỗ hổng thực thi mã từ xa bắt nguồn từ việc tiêm mẫu phía máy chủ trong VMware Workspace ONE Access and Identity Manager.

Với việc các sản phẩm VMware thường trở thành mục tiêu béo bở cho các tác nhân đe dọa, bản cập nhật càng làm tăng thêm tính cấp thiết cho các tổ chức áp dụng các biện pháp giảm nhẹ cần thiết để ngăn chặn các mối đe dọa tiềm ẩn.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …