A VMware corrigiu uma vulnerabilidade de divulgação de informações no VMware Tanzu Application Service para VMs (TAS para VMs) e Isolation Segment causada por credenciais sendo registradas e expostas através de logs de auditoria do sistema.
O TAS para VMs ajuda as empresas a automatizarem a implantação de aplicações em nuvens privadas, públicas ou locais (como, por exemplo, vSphere, AWS, Azure, GCP, OpenStack).
Rastreada como
CVE-2023-20891
, a falha de segurança corrigida hoje pela VMware permitiria a invasores remotos com baixos privilégios acessarem as credenciais de admin da Cloud Foundry API em sistemas não corrigidos em ataques de baixa complexidade que não requerem interação do usuário.
Isso ocorre porque, em instâncias TAS para VMs não corrigidas, as credenciais de admin da CF API codificadas em hexadecimal são registradas nos logs de auditoria do sistema da plataforma.
Atacantes que exploram essa vulnerabilidade podem usar as credenciais roubadas para implantar versões maliciosas do aplicativo.
"Um usuário mal-intencionado não-administrador que tem acesso aos logs de auditoria do sistema da plataforma pode acessar as credenciais de admin da CF API codificadas em hexadecimal e pode implantar novas versões maliciosas de um aplicativo", diz a VMware.
Felizmente, como destacado pela VMware, os usuários não administradores não têm acesso aos logs de auditoria do sistema em configurações de implantação padrão.
No entanto, a empresa ainda aconselha todos os usuários de TAS para VMs afetados pela
CVE-2023-20891
a girar as credenciais de admin da CF API para garantir que os invasores não possam usar quaisquer senhas vazadas.
A VMware fornece instruções detalhadas sobre como alterar as credenciais de admin da Conta de Usuário e Autenticação da Cloud Foundry (UAA) neste documento de suporte.
"A TAS não suporta oficialmente a mudança da senha do usuário admin da UAA.
As instruções acima não são oficialmente testadas como parte do conjunto de testes do Operations Manager, portanto, use-as por sua conta e risco", adverte a VMware.
"Pode ser tentador mudar a senha do usuário admin com a ferramenta uaac.
Infelizmente, isso não é suficiente porque só atualizará a senha do usuário admin na UAA.
Isso deixa o Operations Manager desatualizado e pode fazer com que tarefas e recados falhem."
No mês passado, a VMware corrigiu erros graves de segurança no vCenter Server que permitiam a execução de código e a evasão de autenticação.
Ela também corrigiu um zero-day do ESXi explorado por um grupo de hackers patrocinado pela China para inserir backdoors em máquinas virtuais Windows e Linux em ataques de roubo de dados.
Mais recentemente, a empresa alertou os clientes de que o código de exploração já está disponível para uma vulnerabilidade crítica de RCE na ferramenta de análise de logs do VMware Aria Operations.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...