Чем более широкое распространение получают удаленные интеллектуальные терминалы, тем “тоньше” они становятся.
Чем более широкое распространение получают удаленные интеллектуальные терминалы, тем “тоньше” они становятся.
Компания VMware поблагодарила эксперта Positive Technologies Егора Димитренко за выявление уязвимости в одном из компонентов облачной платформы VMware Carbon Black, которая предназначена для обеспечения безопасности виртуальных машин корпоративной инфраструктуры. Производитель устранил уязвимость и выпустил уведомление.
Уязвимость CVE-2021-21982, получившая оценку 9,1 по шкале CVSS v3, была найдена в Carbon Black Cloud Workload 1.0.1 (и более ранних версиях) — в локальном решении, которое связывает VMware vCenter Server (приложение для централизованного управления средами VMware vSphere) и VMware Carbon Black Cloud.
«Для атаки не требуется авторизация: любой пользователь, имеющий доступ к интерфейсу, может заполучить токен для работы с системой в обход легитимного процесса аутентификации, — объясняет Егор Димитренко. — Интерфейс уязвимого приложения, как правило, доступен во внутренней сети организации, но в некоторых случаях открыт для атаки из интернета. Имея токен аутентификации, злоумышленник получает возможность работать в приложении Carbon Black Cloud Workload с максимальными привилегиями. Так как данное решение является связующим звеном между vCenter Server внутри сети компании и облачным решением для мониторинга безопасности виртуальных машин, то имея максимальные привилегии, злоумышленник может нарушить эту связь и приостановить работу защитных механизмов».
Причиной возникновения уязвимости CVE-2021-21982 исследователь называет недостаточную проверку доступа к некоторым частям приложения, основанную на механизме черного списка, который является не таким эффективным с точки зрения безопасности, как доступ по белому списку.
Для устранения уязвимостей необходимо руководствоваться рекомендациями, которые указаны в официальном уведомлении компании VMware. Обнаружить признаки проникновения (например, если невозможно установить обновление) помогут системы класса SIEM (в частности, MaxPatrol SIEM), которые позволяют выявить подозрительное поведение на сервере, зарегистрировать инцидент и своевременно остановить продвижение злоумышленников внутри корпоративной сети.
В феврале Positive Technologies обнаружила две уязвимости в vCenter Server, одна из них также была критически опасной.
Последний вышедший номер
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.