A VMware está alertando sobre uma falha crítica e não corrigida de segurança no Cloud Director, que pode ser explorada por um ator mal-intencionado para contornar as proteções de autenticação.
Rastreada como
CVE-2023-34060
(pontuação CVSS: 9.8), a vulnerabilidade afeta instâncias que foram atualizadas para a versão 10.5 a partir de uma versão anterior.
"Em uma versão atualizada do VMware Cloud Director Appliance 10.5, um ator mal-intencionado com acesso à rede ao aparelho pode contornar as restrições de login ao se autenticar na porta 22 (ssh) ou na porta 5480 (console de gerenciamento de aplicativos)", disse a empresa em um alerta.
"Esta contorno não está presente na porta 443 (login do provedor e inquilino VCD).
Em uma nova instalação do VMware Cloud Director Appliance 10.5, o contorno não está presente."
A empresa de serviços de virtualização também observou que o impacto é devido ao fato de que utiliza uma versão do sssd do Photon OS subjacente que é afetada pelo
CVE-2023-34060
.
Dustin Hartle, da provedora de soluções de TI Ideal Integrations, foi creditado com a descoberta e o relato das deficiências.
Embora a VMware ainda não tenha lançado uma correção para o problema, ela forneceu uma solução alternativa na forma de um script de shell ("WA_
CVE-2023-34060
.sh").
Também enfatizou que a implementação da mitigação temporária não exigirá tempo de inatividade nem terá um efeito colateral na funcionalidade das instalações do Cloud Director.
O desenvolvimento vem semanas após a VMware lançar patches para outra falha crítica no vCenter Server (
CVE-2023-34048
, pontuação CVSS: 9.8) que poderia resultar na execução remota de código em sistemas afetados.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...