行业新闻与博客

VMware 修补了 VMware Cloud Director 中的一个漏洞，该漏洞通过直接的代码注入为企业的云基础架构完全接管打开了大门。

Cloud Director 允许云提供商，政府和大型企业创建和管理虚拟数据中心，并为全球超过 500,000 个客户提供服务。

但是 Citadelo 研究人员发现的一个漏洞可能使攻击者可以操纵一个简单的表单提交并接管这些私有云，访问敏感数据并修改登录名以捕获其他用户的用户名和密码。

该公司已发布了概念证明，以证明其实际应用：

Citadelo 首席执行官 Tomas Zatko 说：“通常，云基础架构被认为是相对安全的，因为其核心内实现了不同的安全层，例如加密，网络流量隔离或客户细分。”

“但是，可以在任何类型的应用程序中找到安全漏洞，包括云提供商本身。”

例行安全审核

研究人员 TomášMelicher 和 LukášVáclavík 在对一家财富 500 强企业的例行安全审核中发现了该代码注入漏洞，该漏洞使经过身份验证的参与者可以使用基于 Web 的界面或 API 调用将恶意流量发送到 VMware Cloud Director。

该公司警告说：“使用 VMware Cloud Director 向潜在的新客户提供免费试用的云提供商面临高风险，因为不受信任的参与者可以迅速利用这一优势。”

该团队说，发现是从一个简单的异常开始的：在 vCloud Director 中输入 $ {7 * 7}作为 SMTP 服务器的主机名会生成错误消息：字符串值格式无效，值：[49]。

推荐  研究人员 sc 取 $ 31k 的 bug 赏金，用于在 Facebook 中标记 SSRF 漏洞

这使他们怀疑某种形式的表达式语言注入，因为他们能够在服务器端评估简单的算术函数。

经过一点试验，他们便能够调用简单的 Java 代码，访问任意 Java 类，并创建不带参数的实例，然后创建新的类实例。

下一步是访问外国云。研究人员发现，所有与 vCloud 相关的敏感数据都存储在远程数据库中，并确定其凭据存储在何处。

不幸的是，凭证是使用 AES 加密的，并且加密密钥被硬编码在 vCloud Director 的源代码中。

对其进行反编译之后，他们发现 vCloud 加密由自定义类 com.vmware.vcloud.common.crypto.EncryptionManager 处理，并且可以使用 Java 代码片段轻松获取数据库的凭据。

他们说：“现在，我们可以完全访问 vCloud 数据库，并且可以访问所有数据。”

畅通无阻

研究人员发现他们能够查看内部系统数据库的内容，包括密码哈希，并可以对其进行修改以窃取分配给 Cloud Director 中不同组织的外部虚拟机。

他们还可以将特权从组织管理员（通常是客户帐户）升级到系统管理员，从而​​使他们可以访问所有云帐户。

他们可以将登录页面修改为 Cloud Director，从而使攻击者能够以明文形式捕获其他客户的密码，包括系统管理员帐户。

他们还可以读取与客户有关的其他敏感数据，例如全名，电子邮件地址和 IP 地址。

VMware 已将该漏洞归类为“重要”漏洞，并发布了包含修复程序的产品新版本。

尽管 VMware 已为无法立即进行更新的客户发布了解决方法，但目前没有针对较早版本的独立补丁。

本文由机器译制