戴尔和VMware竞相填补虚拟设备安全漏洞

2021-01-13 17:50:51来源:

据《立即安全》(FinTech Futures的姊妹出版物)报道,虽然整个安全领域的注意力都集中在上周的CPU体系结构问题上,但影响企业的严重漏洞似乎已经悄然消失。

发现戴尔和VMware都存在重大问题,可能使攻击者劫持企业级安装。

安全公司Digital Defense发现了一系列零日漏洞,影响了Dell EMC Avamar Server(7.1.x,7.2.x,7.3.x,7.4.x,7.5.0),NetWorker虚拟版(0 .x,9.1.x,9.2.x)以及集成数据保护设备(2.0)。这些漏洞将完全劫持他们本应保护的系统。

故障出在Avamar Installation Manager(AVI)的脚下,AVI是该套件中使用的常见组件。Digital Defense识别出三个独立的错误。

首先是CVE-2017-15548,身份验证绕过。

在这种情况下,用户验证是通过包含用户名,密码和wsURL参数的POST执行的。wsURL参数可以是Avamar Server将向其中发送包括用户名和密码的身份验证SOAP(基于XML的消息协议)请求的任意URL。如果Avamar Server收到成功的SOAP响应,则无论响应是否忽略目标Avatar服务器,它都将返回有效的会话ID。

接下来是CVE-2017-15550,经过身份验证的用户可以在其中下载任意文件。服务器以root用户身份运行,因此它可以获取攻击者指定的任何文件。

第三个错误(CVE-2017-15549)可能获取已下载的文件,并以root特权将其写入指定的任何位置。

将所有这三种方法组合为一种总攻击可能会完全损害虚拟设备。首先,可以将sshd_config文件更改为允许root登录。完成后,可以将用于root的新authorized_keys文件以及用于重新启动SSH服务的Web Shell一起放入其中。由于Web Shell可以以与“ admin”用户相同的特权运行命令,因此可以完全接管。

戴尔已经发布了安全修复程序来解决这些披露问题。该安全通报可以通过Dell的ESA-2018-001出版物获得,尽管它确实需要Dell在线支持凭证才能访问。

VMware同样受到影响,并且还发布了安全公告。这给出了缓解情况需要应用的补丁列表。

尽管戴尔在这种情况下似乎采取了迅速而负责任的行动,但实际的错误似乎很简单,因此可以预防。如果没有相关的安全检查,编程的最佳实践将不允许对文件的根级别访问。


相关文章