Urgente: VMware alerta sobre vulnerabilidade crítica não corrigida no Cloud Director
16 de Novembro de 2023

A VMware está alertando sobre uma falha crítica e não corrigida de segurança no Cloud Director, que pode ser explorada por um ator mal-intencionado para contornar as proteções de autenticação.

Rastreada como CVE-2023-34060 (pontuação CVSS: 9.8), a vulnerabilidade afeta instâncias que foram atualizadas para a versão 10.5 a partir de uma versão anterior.

"Em uma versão atualizada do VMware Cloud Director Appliance 10.5, um ator mal-intencionado com acesso à rede ao aparelho pode contornar as restrições de login ao se autenticar na porta 22 (ssh) ou na porta 5480 (console de gerenciamento de aplicativos)", disse a empresa em um alerta.

"Esta contorno não está presente na porta 443 (login do provedor e inquilino VCD).

Em uma nova instalação do VMware Cloud Director Appliance 10.5, o contorno não está presente."

A empresa de serviços de virtualização também observou que o impacto é devido ao fato de que utiliza uma versão do sssd do Photon OS subjacente que é afetada pelo CVE-2023-34060 .

Dustin Hartle, da provedora de soluções de TI Ideal Integrations, foi creditado com a descoberta e o relato das deficiências.

Embora a VMware ainda não tenha lançado uma correção para o problema, ela forneceu uma solução alternativa na forma de um script de shell ("WA_ CVE-2023-34060 .sh").

Também enfatizou que a implementação da mitigação temporária não exigirá tempo de inatividade nem terá um efeito colateral na funcionalidade das instalações do Cloud Director.

O desenvolvimento vem semanas após a VMware lançar patches para outra falha crítica no vCenter Server ( CVE-2023-34048 , pontuação CVSS: 9.8) que poderia resultar na execução remota de código em sistemas afetados.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...