В vRealize Operations устранили баг, грозивший кражей админ-пароля

Татьяна Никитина 31 Марта 2021 - 14:09

...

В vRealize Operations устранили баг, грозивший кражей админ-пароля

Компания VMware пропатчила две уязвимости в платформе vRealize Operations и выпустила обновления для затронутых продуктов. Одна из новых проблем позволяет получить учетные данные администратора в обход аутентификации и без взаимодействия с пользователем.

Продукт vRealize Operations предназначен для автоматизации управления ИТ-процессами в частных, гибридных и многооблачных средах. Он обеспечивает централизованное обнаружение, мониторинг и устранение неполадок с использованием технологий искусственного интеллекта и предоставляется в пользование в виде локального решения или как услуга (SaaS).

Уязвимость, получившая идентификатор CVE-2021-21975, представляет собой возможность подмены запросов на стороне сервера (Server Side Request Forgery). Она кроется в vRealize Operations Manager API и при наличии сетевого доступа к интерфейсу позволяет украсть идентификаторы админа через SSRF-атаку. Степень опасности проблемы VMware оценила как высокую (8,6 балла по шкале CVSS).

Эксплойт второй уязвимости в API-интерфейсе vRealize Operations Manager (CVE-2021-21983) требует авторизации и в случае успеха позволяет по сети записать любой файл в произвольное место в системе. Проблема получила 7,2 балла по CVSS.

Обе бреши обнаружил эксперт Positive Technologies Егор Димитренко. Их наличие подтверждено для vRealize Operations Manager веток 7.5, 8.0, 8.1, 8.2 и 8.3; VMware Cloud Foundation (vROps) версий 3 и 4, а также vRealize Suite Lifecycle Manager (vROps) версии 8. Патчи уже доступны для всех затронутых продуктов.

Если обновление по каким-то причинам откладывается, можно в качестве альтернативы привнести изменения в настройки модуля аналитики CaSA, следуя инструкциям VMware:

отыскать на каждом узле кластера vRealize Operations файл casa-security-context.xml;
удалить из него строку конфигурации <sec:http pattern="/nodes/thumbprints" security='none'/>
вновь запустить сервис CaSA.

Разработчик заверил, что функциональность продукта от этого не пострадает.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 07 Ноября 2025 - 12:26

Малый и средний бизнес Корпорации Услуги по информационной безопасности Услуги по аутсорсингу информационной безопасности Security Awareness Консалтинг по информационной безопасности Инфосистемы Джет

Компании делают ставку на обучение кибербезопасности: рост спроса на 20%

Компания «Инфосистемы Джет» проанализировала запросы более 270 крупных компаний и выяснила: интерес к корпоративному обучению в области кибербезопасности не просто сохраняется, а растёт. За первое полугодие 2025 года число запросов на программы по повышению осведомлённости сотрудников увеличилось на 20%, а интерес к киберучениям остался на стабильно высоком уровне.

Если раньше компании заказывали в основном «точечные» курсы для ИБ-специалистов, то теперь приоритет смещается к массовому обучению всего штата.

В 2022 году программы по киберграмотности составляли лишь 15% запросов, в 2024-м — уже 37%, а в первой половине 2025-го доля выросла до 58% и продолжает увеличиваться.

Эксперты связывают этот рост с рядом факторов:

увеличением числа инцидентов из-за человеческого фактора — фишинга, ошибок и социальной инженерии;
и новыми нормативными требованиями, включая приказ ФСТЭК № 117, вступивший в силу в апреле 2025 года.

Топ-менеджеры всё чаще понимают, что кибербезопасность — это не только технологии, но и часть корпоративной культуры. Каждый сотрудник должен осознавать личную ответственность за защиту данных.

Если раньше обучение проходило «для галочки», теперь компании ищут действительно эффективные форматы. Растёт интерес к очным занятиям — живое общение и обсуждение помогают вовлечь людей лучше, чем просто онлайн-курс. Обучение становится массовым и персонализированным: внимание уделяется всем сотрудникам, а не только тем, кто работает с чувствительными данными.

«Сегодня обучение кибербезопасности — это уже не формальность, а необходимая мера. Компании вынуждены подходить к нему системно, разделяя программы по уровням — от базовой кибергигиены до комплексных курсов для ИБ-команд. Особенно ценится контент, основанный на реальных инцидентах и адаптированный под конкретные защитные средства компании», — отмечает Кира Шиянова, менеджер продукта платформы Jet CyberCamp компании «Инфосистемы Джет».

На рынке формируется чёткое разделение:

зрелые компании проводят киберучения и развивают awareness-программы своими силами;
организации поменьше чаще обращаются к внешним подрядчикам или используют готовые решения.

При этом заказчики всё чаще требуют доказуемой эффективности обучения — не просто отчётов, а реальных метрик, показывающих снижение рисков. Это подталкивает рынок к росту аутсорсинговых сервисов и комплексных решений, где обучение становится частью общей стратегии кибербезопасности.

Напомним, вчера мы сообщали, что рынок корпоративного ИБ-образования в России вырос до 3 млрд рублей.