Новая уязвимость в VMware vCenter облегчает атаки на тысячи организаций

Новая уязвимость в VMware vCenter облегчает атаки на тысячи организаций

Новая уязвимость в VMware vCenter облегчает атаки на тысячи организаций

Компания VMware выпустила обновления для vCenter Server, чтобы пользователи могли устранить уязвимость, которая в связке с другими позволяет захватить контроль над виртуальной ИТ-инфраструктурой атакуемой организации.

Продукты и услуги VMware используют более 500 тыс. клиентов в разных странах, в том числе все компании (PDF) списков Fortune 500 и Fortune Global 100. При этом комплект предоставляемых средств виртуализации по умолчанию включает софт для централизованного управления серверами — VMware vCenter Server.

Уязвимость CVE-2022-22948 относится к классу «раскрытие информации». Причиной ее появления, со слов вендора, является неадекватность разрешений для файлов. Эксплойт требует наличия доступа к vCenter Server на уровне простого пользователя.

Автор находки, специалист по ИБ из компании Pentera, в своей блог-записи отметил, что выявленная проблема сама по себе не очень опасна (в VMware ее оценили в 5,5 балла по CVSS). Тем не менее, в комбинации с другими уязвимостями vCenter она позволяет провести полноценную атаку с целью захвата контроля над виртуализированными компонентами ИТ-инфраструктуры.

Так, например, злоумышленник может с помощью CVE-2021-21972 получить доступ к машине с установленным клиентом vCenter Server, а затем пустить в ход новоявленную CVE-2022-22948, чтобы добыть логин и пароль к привилегированному аккаунту. Подобная атака позволяет установить полный контроль над сервером.

Если к связке эксплойтов добавить CVE-2021-22015, можно повысить локальные привилегии до root,  взломать пароль на доступ к гипервизору ESXi (генерируется при первом подключении vCenter и при сохранении шифруется ненадежным способом) и подчинить себе и этот узел. Таким образом, данная цепочка эксплойтов позволяет с конечного устройства гибридной инфраструктуры захватить контроль над гипервизором и всеми ВМ под его управлением.

 

Новая угроза актуальна для vCenter Server веток 7.0, 6.7 и 6.5 (в последних двух случаях за исключением экземпляров, установленных на Windows-машинах), а также Cloud Foundation версий 3 и 4. Патчи по большей части уже готовы и доступны — кроме заплатки для Cloud Foundation 3.х. Поскольку уязвимости в продуктах VMware пользуются популярностью у хакеров, и те начинают их использовать в считаные дни после публикации, пользователям рекомендуется как можно скорее установить обновления.

Не просто сканер, а разбор находок: SASTAV вынесли в формат ИБ-сервиса

ShiftLeft Security, разработчик платформы анализа защищённости исходного кода SASTAV, объявила о партнёрстве с провайдерами управляемых сервисов ИБ, включая системного интегратора УЦСБ. Теперь заказчики смогут передавать проверку кода и валидацию уязвимостей внешним экспертным командам.

Модель рассчитана на одну из частых проблем при работе с SAST-инструментами — большое количество ложноположительных срабатываний.

Вместо того чтобы отдавать заказчику сырой поток предупреждений, сервис предполагает полный цикл проверки: код загружается в защищённый контур платформы, проходит автоматизированный анализ небезопасных паттернов, зависимостей и конфигураций, а затем результаты дополнительно проверяют эксперты.

На выходе компания получает не просто список технических алертов, а подтверждённые уязвимости с приоритизацией, описанием возможного влияния на бизнес и рекомендациями по исправлению. Это должно снизить нагрузку на внутренние ИБ-команды и разработчиков, которым обычно приходится тратить время на разбор нерелевантных находок.

SASTAV может анализировать разные части приложения: бэкенд-сервисы, frontend, API-контуры и инфраструктурные манифесты. При оценке учитываются архитектура и бизнес-логика конкретного проекта, а критичность находок ранжируется с учётом вероятности эксплуатации.

Услуга будет доступна в двух форматах: как разовый аудит перед релизом, сертификацией или внешней проверкой, а также как регулярный сервис с согласованной периодичностью. В рамках подписки или отдельного контракта можно провести повторную проверку, чтобы подтвердить устранение найденных проблем.

Границы работ, технологический стек и объём проверяемого кода фиксируются в техническом задании. Такой формат позволяет компаниям получать внешнюю оценку защищённости разработки без необходимости полностью переносить эту нагрузку на собственные ИБ-ресурсы.

RSS: Новости на портале Anti-Malware.ru