VMware, VMware Tanzu Application Service for VMs (TAS for VMs) ve Isolation Segment’te kimlik bilgilerinin günlüğe kaydedilmesi ve sistem denetim günlükleri aracılığıyla ifşa edilmesinden kaynaklanan bir bilginin açığa çıkması güvenlik açığını yamaladı.
VM’ler için TAS, kuruluşların şirket içi veya genel ve özel bulutlarda (ör. vSphere, AWS, Azure, GCP, OpenStack) uygulama dağıtımını otomatikleştirmesine yardımcı olur.
CVE-2023-20891 olarak izlenen, bugün Vmware tarafından ele alınan güvenlik açığı, düşük ayrıcalıklara sahip uzaktaki saldırganların, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda yama uygulanmamış sistemlerde Cloud Foundry API yönetici kimlik bilgilerine erişmesine olanak tanıyacaktır.
Bunun nedeni, sanal makineler için düzeltme eki uygulanmamış TAS örneklerinde, onaltılık kodlu CF API yönetici kimlik bilgilerinin platform sistemi denetim günlüklerine kaydedilmesidir.
Bu güvenlik açığından yararlanan tehdit aktörleri, çalınan kimlik bilgilerini kötü amaçlı uygulama sürümlerini iletmek için kullanabilir.
VMware, “Platform sistem denetim günlüklerine erişimi olan yönetici olmayan kötü niyetli bir kullanıcı, onaltılık kodlu CF API yönetici kimlik bilgilerine erişebilir ve bir uygulamanın yeni kötü amaçlı sürümlerini gönderebilir” diyor.
Şans eseri, VMware tarafından vurgulandığı gibi, yönetici olmayan kullanıcıların standart dağıtım yapılandırmalarında sistem denetim günlüklerine erişimi yoktur.
Yönetici kimlik bilgisi rotasyonu önerilir
Ancak şirket, CVE-2023-20891’den etkilenen tüm TAS for VMs kullanıcılarına, saldırganların sızdırılan parolaları kullanmamasını sağlamak için CF API yönetici kimlik bilgilerini döndürmelerini tavsiye ediyor.
VMware, bu destek belgesinde Cloud Foundry Kullanıcı Hesabı ve Kimlik Doğrulama (UAA) yönetici kimlik bilgilerinin değiştirilmesine ilişkin ayrıntılı talimatlar sağlar.
VMware, “TAS, UAA yönetici kullanıcı parolasının değiştirilmesini resmi olarak desteklemiyor. Yukarıdaki talimatlar, Operations Manager test paketinin bir parçası olarak resmi olarak test edilmemiştir, bu nedenle bunları kullanmanın riski size aittir,” diye uyarıyor VMware.
“Yönetici kullanıcının parolasını uaac yardımcı programıyla değiştirmek cazip gelebilir. Ne yazık ki bu, UAA’da yalnızca yönetici kullanıcının parolasını güncelleyeceği için yeterli değildir. Bu, Operasyon Yöneticisi’ni senkronize etmez ve işlerin ve ayak işlerinin başarısız olmasına neden olabilir.”
Geçen ay, VMware, kod yürütme ve kimlik doğrulama atlamasına izin veren yüksek önem dereceli güvenlik vCenter Server hatalarını ele aldı.
Ayrıca, veri hırsızlığı saldırılarında Windows ve Linux sanal makinelerine arka kapı olarak girmek için Çin sponsorluğundaki bir bilgisayar korsanlığı grubu tarafından istismar edilen bir ESXi sıfır gün sorununu da düzeltti.
Daha yakın bir zamanda şirket, müşterileri VMware Aria Operations for Logs analiz aracında kritik bir RCE güvenlik açığı için yararlanma kodunun artık mevcut olduğu konusunda uyardı.