VMware, Cloud Director cihaz dağıtımlarındaki kritik bir kimlik doğrulama atlama güvenlik açığını düzeltti; bu, 14 Kasım’da açıklanmasından bu yana iki haftadan fazla bir süredir yama yapılmadan bırakılan bir hatadır.
Cloud Director, yöneticilerin birden çok konuma yayılmış veri merkezlerini Sanal Veri Merkezleri (VDC) olarak yönetmesine olanak tanıyan bir VMware platformudur.
Kimlik doğrulama atlama güvenlik kusuru (CVE-2023-34060), yalnızca daha önce eski bir sürümden yükseltilen VCD Appliance 10.5 çalıştıran cihazları etkiliyor. Ancak VMware, bunun yeni VCD Appliance 10.5 kurulumlarını, Linux dağıtımlarını ve diğer cihazları etkilemediğini söylüyor.
Uzak saldırganlar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda CVE-2023-34060 hatasını uzaktan kullanabilirler.
VMware, “VMware Cloud Director Appliance 10.5’in yükseltilmiş bir sürümünde, cihaza ağ erişimi olan kötü niyetli bir aktör, bağlantı noktası 22 (ssh) veya bağlantı noktası 5480’de (cihaz yönetim konsolu) kimlik doğrulaması yaparken oturum açma kısıtlamalarını atlayabilir” diye açıklıyor.
“Bu atlama 443 numaralı bağlantı noktasında (VCD sağlayıcısı ve kiracı oturumu açma) mevcut değil. VMware Cloud Director Appliance 10.5’in yeni kurulumunda atlama mevcut değil.”
Geçici çözüm de mevcut
Şirket ayrıca güvenlik düzeltme ekini hemen yükleyemeyen yöneticiler için de geçici bir çözüm sağlıyor.
VMware ayrı bir danışma belgesinde “VMware, müşterilerin sorunu anlamalarına ve sorunu hangi yükseltme yolunun çözeceğini anlamalarına yardımcı olmak için VMware Güvenlik Önerisi VMSA-2023-0026’yı yayımladı” diyor.
VMware tarafından paylaşılan geçici çözüm yalnızca VCD Appliance 10.5.0’ın etkilenen sürümleri için çalışıyor ve özel bir komut dosyasının indirilmesini ve CVE-2023-34060 saldırılarına karşı savunmasız hücrelerde çalıştırılmasını gerektiriyor.
VMware’e göre bu geçici çözüm herhangi bir işlevsel kesintiye neden olmuyor ve hizmetin yeniden başlatılması veya yeniden başlatılması gerekmediği için kesinti de endişe verici değil.
Haziran ayında VMware, Çinli siber casusların veri hırsızlığı amacıyla kullandığı bir ESXi sıfır gününü (CVE-2023-20867) yamaladı ve müşterileri, Aria Operations for Networks analiz aracındaki aktif olarak kötüye kullanılan kritik bir kusur konusunda uyardı.
Daha yakın bir zamanda, Ekim ayında, uzaktan kod yürütme saldırıları için kullanılabilecek kritik bir vCenter Sunucusu kusurunu (CVE-2023-34048) da düzeltti.