VMware, VM'ler için VMware Tanzu Uygulama Hizmetinde (VM'ler için TAS) ve sistem denetim günlükleri aracılığıyla günlüğe kaydedilen ve maruz bırakılan izolasyon segmentinde bir bilgi açıklama güvenlik açığı düzenlemiştir.
VM'ler için TAS, İşletmelerin uygulamaların şirket içi veya kamu ve özel bulutlara (örn., VSphere, AWS, Azure, GCP, OpenStack) konuşlandırılmasını otomatikleştirmesine yardımcı olur.
CVE-2023-20891 olarak izlenen VMware tarafından bugün ele alınan güvenlik kusuru, düşük karmaşık saldırılarda kullanıcı etkileşimi gerektirmeyen düşük karmaşık saldırılarda bulut Foundry API yönetici kimlik bilgilerine erişmesine izin verecektir.
Bunun nedeni, VMS örnekleri için satılmamış TAS'da, onaltılık CF API admin bilgilerinin platform sistemi denetim günlüklerinde kaydedilmesidir.
Bu güvenlik açığından yararlanan tehdit aktörleri, kötü amaçlı uygulama sürümlerini zorlamak için çalınan kimlik bilgilerini kullanabilir.
VMware, "Platform sistemi denetim günlüklerine erişimi olan kötü niyetli administ olmayan bir kullanıcı, onaltılık CF API yönetici kimlik bilgilerine erişebilir ve bir uygulamanın yeni kötü amaçlı sürümlerini zorlayabilir."
Neyse ki, VMware tarafından vurgulandığı gibi, ADMIN olmayan kullanıcıların standart dağıtım yapılandırmalarında sistem denetim günlüklerine erişimi yoktur.
Bununla birlikte, şirket hala CVE-2023-20891'den etkilenen VMS kullanıcıları için tüm TAS'a, saldırganların sızan şifreleri kullanamayacağından emin olmak için CF API admin bilgilerini döndürmesini önermektedir.
VMware, bu destek belgesindeki bulut Foundry Kullanıcı Hesabı ve Kimlik Doğrulama (UAA) Yönetici Kimlik Bilgileri hakkında ayrıntılı talimatlar sunar.
VMware, "TAS, UAA yönetici kullanıcısının şifresini değiştirmeyi resmi olarak desteklemiyor. Yukarıdaki talimatlar, Operations Manager Test paketinin bir parçası olarak resmi olarak test edilmiyor, bu nedenle bunları kendi sorumluluğunuzda kullanın."
"Yönetici kullanıcısının şifresini UAAC yardımcı programı ile değiştirmek cazip gelebilir. Ne yazık ki, bu yeterli değildir, çünkü sadece UAA'daki yönetici kullanıcısının şifresini güncelleyecektir. Bu, operasyon yöneticisini senkronize bırakır ve işlerin ve işlerin başarısız olmasına neden olabilir."
Geçen ay, VMware, kod yürütme ve kimlik doğrulama baypasına izin veren yüksek şiddetli güvenlik vCenter sunucusu hatalarını ele aldı.
Ayrıca, Çin sponsorluğunda bir hack grubu tarafından veri hırsızlığı saldırılarında arka kapı pencerelerine ve Linux sanal makinelerine sömürülen bir ESXI sıfır gününü sabitledi.
Daha yakın zamanlarda şirket, müşterileri Logs analizi için VMware ARIA İşlemleri'ndeki kritik bir RCE güvenlik açığı için kullanılabilir olduğu konusunda uyardı.
VMware, kritik vrealize rce hatası için mevcut olan istismar konusunda uyarıyor
VMware, kod yürütmesine izin veren vCenter sunucusu hatalarını düzeltiyor, Auth Bypass
VMware, saldırılarda sömürülen kritik vrealize kusurunu uyarıyor
Microsoft: Windows Kernel CVE-2023-32019 Düzeltme varsayılan olarak devre dışı bırakılır
Çinli bilgisayar korsanları vmware esxi sıfır gününü arka kapı vms için kullandı
Kaynak: Bleeping Computer