VMware, Cloud Director cihaz dağıtımlarını etkileyen kritik ve düzeltme eki uygulanmamış bir kimlik doğrulama atlama güvenlik açığını açıkladı.
Cloud Director, VMware yöneticilerinin kuruluşlarının bulut hizmetlerini Sanal Veri Merkezlerinin (VDC) bir parçası olarak yönetmelerine olanak tanır.
Kimlik doğrulama atlama güvenlik kusuru yalnızca daha önce eski bir sürümden yükseltilmiş olan VCD Appliance 10.5 çalıştıran cihazları etkiler. Şirket ayrıca CVE-2023-34060’ın yeni VCD Appliance 10.5 kurulumlarını, Linux dağıtımlarını ve diğer cihazları etkilemediğini de ekledi.
Kimliği doğrulanmamış saldırganlar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda bu hatadan uzaktan yararlanabilir.
VMware, “VMware Cloud Director Appliance 10.5’in yükseltilmiş bir sürümünde, cihaza ağ erişimi olan kötü niyetli bir aktör, bağlantı noktası 22 (ssh) veya bağlantı noktası 5480’de (cihaz yönetim konsolu) kimlik doğrulaması yaparken oturum açma kısıtlamalarını atlayabilir” diye açıklıyor.
“Bu atlama 443 numaralı bağlantı noktasında (VCD sağlayıcısı ve kiracı oturumu açma) mevcut değil. VMware Cloud Director Appliance 10.5’in yeni kurulumunda atlama mevcut değil.”
Yama yok, geçici çözüm mevcut
VMware’in bu kritik kimlik doğrulama atlaması için bir yaması olmasa da şirket, güvenlik güncellemeleri yayınlanana kadar yöneticilere geçici bir çözüm sağladı.
VMware ayrı bir danışma belgesinde “VMware, müşterilerin sorunu anlamalarına ve sorunu hangi yükseltme yolunun çözeceğini anlamalarına yardımcı olmak için VMware Güvenlik Önerisi VMSA-2023-0026’yı yayımladı” diyor.
VMware tarafından paylaşılan geçici çözüm yalnızca VCD Appliance 10.5.0’ın etkilenen sürümleri için çalışacak ve bu bilgi bankası makalesine eklenen özel bir komut dosyasının indirilmesini ve CVE-2023-34060 güvenlik açığına maruz kalan hücrelerde çalıştırılmasını gerektiriyor.
VMware’e göre geçici çözüm herhangi bir işlevsel kesintiye neden olmuyor ve hizmetin yeniden başlatılması veya yeniden başlatılması gerekmediği için kesinti süresi endişe verici değil.
Haziran ayında şirket ayrıca Çinli devlet korsanları tarafından veri hırsızlığı için kullanılan bir ESXi sıfır gününü düzeltti ve müşterileri Aria Operations for Networks analiz aracında aktif olarak yararlanılan kritik bir hata konusunda uyardı.
Daha yakın bir zamanda, Ekim ayında, uzaktan kod yürütme saldırıları için kullanılabilecek kritik bir vCenter Sunucusu kusurunu (CVE-2023-34048) yamaladı.