Urgente: VMware alerta sobre vulnerabilidade crítica não corrigida no Cloud Director
16 de Novembro de 2023

A VMware está alertando sobre uma falha crítica e não corrigida de segurança no Cloud Director, que pode ser explorada por um ator mal-intencionado para contornar as proteções de autenticação.

Rastreada como CVE-2023-34060 (pontuação CVSS: 9.8), a vulnerabilidade afeta instâncias que foram atualizadas para a versão 10.5 a partir de uma versão anterior.

"Em uma versão atualizada do VMware Cloud Director Appliance 10.5, um ator mal-intencionado com acesso à rede ao aparelho pode contornar as restrições de login ao se autenticar na porta 22 (ssh) ou na porta 5480 (console de gerenciamento de aplicativos)", disse a empresa em um alerta.

"Esta contorno não está presente na porta 443 (login do provedor e inquilino VCD).

Em uma nova instalação do VMware Cloud Director Appliance 10.5, o contorno não está presente."

A empresa de serviços de virtualização também observou que o impacto é devido ao fato de que utiliza uma versão do sssd do Photon OS subjacente que é afetada pelo CVE-2023-34060 .

Dustin Hartle, da provedora de soluções de TI Ideal Integrations, foi creditado com a descoberta e o relato das deficiências.

Embora a VMware ainda não tenha lançado uma correção para o problema, ela forneceu uma solução alternativa na forma de um script de shell ("WA_ CVE-2023-34060 .sh").

Também enfatizou que a implementação da mitigação temporária não exigirá tempo de inatividade nem terá um efeito colateral na funcionalidade das instalações do Cloud Director.

O desenvolvimento vem semanas após a VMware lançar patches para outra falha crítica no vCenter Server ( CVE-2023-34048 , pontuação CVSS: 9.8) que poderia resultar na execução remota de código em sistemas afetados.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...