Urgente: VMware alerta sobre vulnerabilidade crítica não corrigida no Cloud Director
16 de Novembro de 2023

A VMware está alertando sobre uma falha crítica e não corrigida de segurança no Cloud Director, que pode ser explorada por um ator mal-intencionado para contornar as proteções de autenticação.

Rastreada como CVE-2023-34060 (pontuação CVSS: 9.8), a vulnerabilidade afeta instâncias que foram atualizadas para a versão 10.5 a partir de uma versão anterior.

"Em uma versão atualizada do VMware Cloud Director Appliance 10.5, um ator mal-intencionado com acesso à rede ao aparelho pode contornar as restrições de login ao se autenticar na porta 22 (ssh) ou na porta 5480 (console de gerenciamento de aplicativos)", disse a empresa em um alerta.

"Esta contorno não está presente na porta 443 (login do provedor e inquilino VCD).

Em uma nova instalação do VMware Cloud Director Appliance 10.5, o contorno não está presente."

A empresa de serviços de virtualização também observou que o impacto é devido ao fato de que utiliza uma versão do sssd do Photon OS subjacente que é afetada pelo CVE-2023-34060 .

Dustin Hartle, da provedora de soluções de TI Ideal Integrations, foi creditado com a descoberta e o relato das deficiências.

Embora a VMware ainda não tenha lançado uma correção para o problema, ela forneceu uma solução alternativa na forma de um script de shell ("WA_ CVE-2023-34060 .sh").

Também enfatizou que a implementação da mitigação temporária não exigirá tempo de inatividade nem terá um efeito colateral na funcionalidade das instalações do Cloud Director.

O desenvolvimento vem semanas após a VMware lançar patches para outra falha crítica no vCenter Server ( CVE-2023-34048 , pontuação CVSS: 9.8) que poderia resultar na execução remota de código em sistemas afetados.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...