В VMware vRealize Operations устренены опасные уязвимости

7 апрель, 2021 - 09:58
В VMware vRealize Operations устренены опасные уязвимости

Компания Positive Technologies сообщила о выявлении двух уязвимостей в VMware vRealize Operations (vROps). в решении которое предназначено для мониторинга и оптимизации производительности виртуальной инфраструктуры, устранения неполадок в ней.

Опасная уязвимость была обнаружена в API vROps. Ошибка с идентификатором CVE-2021-21975 и оценкой 8,6 по шкале CVSS v3 относится к типу SSRF-уязвимостей, то есть позволяет выполнить подделку запросов на стороне сервера. С ее помощью любой неавторизованный злоумышленник может украсть учетные данные администратора и получить доступ к приложению с максимальными привилегиями, что позволяет изменять конфигурацию приложения и перехватывать в нем любые данные.

Как отмечается, основной риск заключается в том, что привилегии администратора позволяют воспользоваться второй уязвимостью — CVE-2021-21983 (загрузка произвольных файлов, arbitrary file write, оценка 7,2), а это даст возможность выполнять любые команды на сервере. В результате объединение двух недостатков безопасности усиливает опасность ситуации, так как фактически позволяет неавторизованному злоумышленнику захватить контроль над сервером и начать дальнейшее продвижение в инфраструктуре компании. Комбинация этих двух уязвимостей по уровню угрозы сравнима с ошибкой CVE-2021-21972 в VMware vCenter, которая была обнаружена ранее Positive Technologies.

В числе причин возникновения уязвимостей, подобных CVE-2021-21975, называется стремление разработчиков решать поставленные перед ними задачи самыми удобными способами, которые не всегда эффективны с точки зрения безопасности. А причиной возникновения уязвимости CVE-2021-21983 часто становится недостаточная фильтрация входных данных, поступающих от пользователя.

Приложения такого типа, как vROps, обычно размещаются во внутренней сети, но из-за неправильной настройки (или в случае, когда нужно решать какие-то специфические задачи) их нередко можно встретить на периметре. Например, число доступных из интернета и содержащих уязвимость CVE-2021-21972 устройств VMware vCenter на момент ее обнаружения в конце февраля 2021 г. во всем мире превышало 6 тыс.