VMware漏洞可導(dǎo)致企業(yè)服務(wù)器基礎(chǔ)架構(gòu)被劫持
- 作者:木辰科技
- 發(fā)表時間:2020-06-04 11:55:28
- 來源:shmuchen.com
- 瀏覽量:1210
6月4日,近日據(jù)外媒報道,入侵測試公司Citadelo發(fā)布了一份安全報告,該報告詳細(xì)描述了VMware這個漏洞,追蹤到的編號為CVE-2020-3956。
據(jù)悉,該漏洞是于今年4月在對財富500強(qiáng)企業(yè)客戶和VMware Cloud Director用戶進(jìn)行安全審計時首次被發(fā)現(xiàn)的。
根據(jù)了解,VMware Cloud Director前身被稱為vCloud Director,是一個云服務(wù)交付平臺,用于虛擬數(shù)據(jù)中心管理、數(shù)據(jù)中心擴(kuò)展、云遷移以及托管自動化工具。目前,該軟件被全球的云服務(wù)供應(yīng)商和企業(yè)使用。
此次漏洞的嚴(yán)重性CVSSV3評分為8.8, VMware認(rèn)為該漏洞重要級別高級別,漏洞原因是由于未對系統(tǒng)輸入正確的處理造成的。
根據(jù)Citadelo的說法,雖然利用這個漏洞可能會導(dǎo)致代碼執(zhí)行錯誤,并且黑客能夠利用漏洞從技術(shù)上控制分配,但是由于攻擊者必須在某種程度上進(jìn)行身份驗證,因此這個漏洞的范圍較小。
同時,在分析漏洞時,CItadelo表示他們能夠查看到VMware內(nèi)部系統(tǒng)數(shù)據(jù)庫,獲取系統(tǒng)的存儲密碼散列、以及讀取包括電子郵件和IP地址在內(nèi)的客戶數(shù)據(jù)。
此外,VMware還表示,經(jīng)過認(rèn)證的攻擊者可能會向VMware Cloud Director發(fā)送惡意流量,從而執(zhí)行任意遠(yuǎn)程代碼。
同時,這個漏洞可以通過HTML5和基于flex的ui、API Explorer接口和API訪問來利用,黑客可以對數(shù)據(jù)庫進(jìn)行部分修改,以篡改虛擬機(jī)、以及篡改登錄設(shè)置以竊取憑證。
對于此次漏洞,VMware感謝Citadelo研究團(tuán)隊報告了此漏洞。同時,Citadelo網(wǎng)絡(luò)安全公司也表示VMware正在努力迅速修復(fù)此漏洞。
聲明:本文由 木辰科技 收集整理的《VMware漏洞可導(dǎo)致企業(yè)服務(wù)器基礎(chǔ)架構(gòu)被劫持》,如轉(zhuǎn)載請保留鏈接:http://m.redcrossapp.cn/news_in/264
- 開發(fā)App的5個基本步驟
- 手機(jī)App的發(fā)展前景展望
- 網(wǎng)站制作從原型圖架構(gòu)到設(shè)計開發(fā)的具體步驟
- 站長必看網(wǎng)站建設(shè)系統(tǒng)選擇知識
- 高端網(wǎng)站建設(shè)必須要滿足哪些要求--木辰建站
- 企業(yè)用網(wǎng)站進(jìn)行網(wǎng)絡(luò)宣傳的優(yōu)勢
- 淺析影響網(wǎng)站百度權(quán)重排名的幾大要點
- 個人網(wǎng)站應(yīng)該選擇哪種虛擬主機(jī)?
- 什么是偽靜態(tài)?偽靜態(tài)有何作用?哪種好?
- 「高端網(wǎng)站定制」企業(yè)網(wǎng)站要如何做好頁面標(biāo)題設(shè)置?-木辰網(wǎng)站建站