等级为CVSSV3 8.8并分配给CVE-2020-3956,云服务交付平台中的代码注入漏洞可能使攻击者能够访问敏感数据并接管企业内私有云的控制。
黑客还可以利用此漏洞来控制云中的所有客户。据发现该漏洞的道德黑客公司Citadelo称,它还授予访问权限以修改整个基础结构的登录部分,以捕获另一个客户的用户名和密码。
Citadelo首席执行官Tomas Zatko说:“通常,云基础架构被认为是相对安全的,因为其核心内实现了不同的安全层,例如加密,网络流量隔离或客户细分。”
“但是,可以在任何类型的应用程序中找到安全漏洞,包括他们自己的云提供商。”
Citadelo今年被一家财富500强企业客户聘用,以执行安全审核并调查其基于VMware Cloud Director的云基础架构。
利用代码注入漏洞,公司的研究人员能够查看内部系统数据库的内容,包括分配给信息系统的所有客户的密码哈希。
从那里,他们能够修改系统数据库以窃取在Cloud Director中分配给不同组织的外部虚拟机(VM)。该漏洞还使他们可以将特权从客户帐户升级到系统管理员,并可以访问所有云帐户。
最后,他们可以读取与客户有关的所有敏感数据,例如全名,电子邮件地址或IP地址。
该漏洞最初于4月1日报告给VMware,并于本月底和5月发布了补丁程序。尚未应用此修复程序的组织仍然容易受到攻击。
受影响的人员包括使用VMware vCloud Director的公共云提供商,使用VMware vCloud Director的私有云提供商,使用VMware vCloud Director技术的企业以及使用VMware Cloud Director的任何政府身份。
声明: 猿站网有关资源均来自网络搜集与网友提供,任何涉及商业盈利目的的均不得使用,否则产生的一切后果将由您自己承担! 本平台资源仅供个人学习交流、测试使用 所有内容请在下载后24小时内删除,制止非法恶意传播,不对任何下载或转载者造成的危害负任何法律责任!也请大家支持、购置正版! 。本站一律禁止以任何方式发布或转载任何违法的相关信息访客发现请向站长举报,会员发帖仅代表会员个人观点,并不代表本站赞同其观点和对其真实性负责。本网站的资源部分来源于网络,如有侵权烦请发送邮件至:2697268773@qq.com进行处理。