VMware vydáva opravy na opravu nových nedostatkov ovplyvňujúcich viacero produktov

Spoločnosť VMware v stredu dodala bezpečnostné aktualizácie na odstránenie zraniteľností vo viacerých produktoch, ktoré by mohol útočník potenciálne zneužiť na prevzatie kontroly nad postihnutým systémom.

Šesť bezpečnostných slabín (od CVE-2021-22022 do CVE-2021-22027, skóre CVSS: 4.4 – 8.6) ovplyvňujú operácie VMware vRealize (pred verziou 8.5.0), VMware Cloud Foundation (verzie 3.x a 4.x) a vRealize Suite Lifecycle Manager (verzia 8.x), ako je uvedené nižšie –

  • CVE-2021-22022 (skóre CVSS: 4.4) – Chyba zabezpečenia ľubovoľného čítania súboru v rozhraní API vRealize Operations Manager, ktorá vedie k sprístupneniu informácií
  • CVE-2021-22023 (skóre CVSS: 6.6) – Nezabezpečená zraniteľnosť priameho odkazu na objekt v rozhraní API vRealize Operations Manager, ktorá umožňuje útočníkovi s administratívnym prístupom zmeniť informácie iných používateľov a prevziať kontrolu nad účtom
  • CVE-2021-22024 (skóre CVSS: 7.5) – Ľubovoľná zraniteľnosť pri čítaní protokolových súborov v rozhraní API vRealize Operations Manager, ktorá vedie k sprístupneniu citlivých informácií
  • CVE-2021-22025 (skóre CVSS: 8.6) – Poškodená zraniteľnosť riadenia prístupu v vRealize Operations Manager API, čo umožňuje neoverenému škodlivému aktérovi pridať nové uzly do existujúceho klastra vROps
  • CVE-2021-22026 a CVE-2021-22027 (skóre CVSS: 7.5) – Chyba zabezpečenia falšovania požiadavky na strane servera v rozhraní API vRealize Operations Manager, ktorá vedie k sprístupneniu informácií

Za nahlásenie nedostatkov sa pripisuje Egor Dimitrenko z Positive Technologies (CVE-2021-22022 a CVE-2021-22023) a tento codecc z MoyunSec V-Lab (od CVE-2021-22024 po CVE-2021-22027).

Samostatne spoločnosť VMware vydala aj záplaty na nápravu chyby zabezpečenia skriptovania medzi stránkami (XSS), ktorá má vplyv na VMware vRealize Log Insight a VMware Cloud Foundation, ktorá pochádza z prípadu nesprávneho overenia používateľských vstupov, čo umožňuje protivníkovi s používateľskými oprávneniami vložiť škodlivé zaťaženie prostredníctvom Používateľské rozhranie Log Insight, ktoré sa spustí, keď obeť pristúpi k odkazu na zdieľaný informačný panel.

Chyba, ktorej bol pridelený identifikátor CVE-2021-22021, bola ohodnotená 6.5 pre závažnosť v systéme hodnotenia CVSS. Marcin Kot z Prevenity a Tran Viet Quang z Vantage Point Security boli uznaní za nezávislé objavenie a nahlásenie zraniteľnosti.

Záplaty prichádzajú aj týždeň po tom, ako spoločnosť VMware opravila chybu odmietnutia služby vo svojej konzole VMware Workspace ONE UEM (CVE-2021-22029, skóre CVSS: 5.3), ktoré by hráč s prístupom k “/API/system/admins/session” mohol zneužiť na nedostupnosť API z dôvodu nesprávneho obmedzenia rýchlosti.