VMware исправила опасные уязвимости в ПО для мониторинга инфраструктуры
В числе угроз — выполнение произвольных команд на сервере и возможность развития атаки для получения полного контроля над IT-системами компании
Эксперт Positive Technologies Егор Димитренко выявил две уязвимости в VMware vRealize Operations (vROps). Это решение предназначено для мониторинга и оптимизации производительности виртуальной инфраструктуры, устранения неполадок в ней.
Более опасная уязвимость была обнаружена в API vROps. Ошибка с идентификатором CVE-2021-21975 и оценкой 8,6 по шкале CVSS v3 относится к типу SSRF-уязвимостей, то есть позволяет выполнить подделку запросов на стороне сервера. С ее помощью любой неавторизованный злоумышленник может украсть учетные данные администратора и получить доступ к приложению с максимальными привилегиями, что позволяет изменять конфигурацию приложения и перехватывать в нем любые данные.
«Основной риск заключается в том, что привилегии администратора позволяют воспользоваться второй уязвимостью — CVE-2021-21983 (загрузка произвольных файлов, arbitrary file write, оценка 7,2), а это даст возможность выполнять любые команды на сервере, — объясняет Егор Димитренко. — В результате объединение двух недостатков безопасности усиливает опасность ситуации, так как фактически позволяет неавторизованному злоумышленнику захватить контроль над сервером и начать дальнейшее продвижение в инфраструктуре компании. Комбинация этих двух уязвимостей по уровню угрозы сравнима с ошибкой CVE-2021-21972 в VMware vCenter, которую мы обнаружили ранее».
Среди причин возникновения уязвимостей, подобных CVE-2021-21975, исследователь называет стремление разработчиков решать поставленные перед ними задачи самыми удобными способами, которые не всегда эффективны с точки зрения безопасности. А причиной возникновения уязвимости CVE-2021-21983 часто становится недостаточная фильтрация входных данных, поступающих от пользователя.
Приложения такого типа, как vROps, обычно размещаются во внутренней сети, но из-за неправильной настройки (или в случае, когда нужно решать какие-то специфические задачи) их нередко можно встретить на периметре. Например, число доступных из интернета и содержащих уязвимость CVE-2021-21972 устройств VMware vCenter на момент ее обнаружения в конце февраля 2021 года во всем мире превышало 6 тысяч.
Для устранения уязвимостей необходимо руководствоваться рекомендациями, которые указаны в официальном уведомлении компании VMware. Если установить обновление невозможно, то есть способ обнаружить признаки проникновения: это применение системы класса SIEM (например, MaxPatrol SIEM), которая позволяет выявить подозрительное поведение на сервере, зарегистрировать инцидент и своевременно остановить продвижение злоумышленников внутри корпоративной сети.
О компании
Positive Technologies уже 19 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявить, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Наши технологии построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности.
Сегодня свою безопасность компании доверяют более 2000 компаний в 30 странах мира. В числе ее клиентов в России — 80% участников рейтинга «Эксперт-400».