Slováci odhalili kritickú chybu: Známy softvér svetovej cloudovej firmy sa dal ľahko hacknúť
Slovákom zo spoločnosti Citadelo sa podarilo odhaliť závažnú zraniteľnosť v produkte VMWare Cloud Director, ktorá im umožní získať plnú kontrolu nad infraštruktúrou cloudového poskytovateľa.
Spoločnosť Citadelo pôsobiaca na Slovensku prostredníctvom mailu od Tomáša Zaťka upozornila redakciu FonTech.sk na svoj blog, ktorý popisuje závažnú zraniteľnosť v produkte VMWare Cloud Director. Slovenská firma už stihla o probléme informovať aj samotný VMWare.
Chyba, ktorá ohrozuje firmy využívajúce špecifický produkt VMWare
CEO Citadelo, Tomáš Zaťko, s ktorým sme sa už v minulosti rozprávali o aj kybernetickej bezpečnosti na Slovensku, v blogu uviedol, že odhalená zraniteľnosť umožní útočníkovi získať plnú kontrolu nad infraštruktúrou cloudového poskytovateľa, ktorý využíva produkt VMWare Cloud Director. Samotná zraniteľnosť má pritom hodnotenie závažnosti 8,8/10.
Vo videu uvedenom vyššie popisuje chybu etický hacker Tomáš Melicher, ktorý je zároveň autorom tejto zraniteľnosti. Typ útoku je známy ako code injection a pomocou neho dokáže útočník zneužiť chybu overenia vstupu v danom zabezpečení softvéru, pričom je schopný okamžite zaviesť škodlivý kód. V prvom kroku do testovacieho servera odoslal vstup vo formáte XML, pričom na ňom dokázal spustiť jednoduchú aritmetickú operáciu.
Úpravou kódu však vytiahol zo servera informácie o aktuálne prihlásenom používateľovi. V tomto momente môže potencionálny útočník vykonávať príkazy na úrovni operačného systému samotného cloudového poskytovateľa, vďaka čomu viacerými spôsobmi dokáže získať prístup k cudzím cloudom. Napríklad pomocou jednoduchého skriptu vie zmeniť heslo systémovému administrátorovi.
Ide tak o naozaj závažnú zraniteľnosť, ktorá umožní útočníkovi získať prístup ku všetkým cloudom spravovaným systémovým administrátorom a vážne tak ohroziť dáta spoločností a virtuálne stanice.
Chyba bola oznámená spoločnosti VMWare už 1. apríla 2020. Tá stihla vydať bezpečnostnú záplatu opravujúcu zraniteľnosť do konca rovnakého mesiaca, na čo bolo v zápätí zraniteľnosti oficiálne pridelené označenie identifikátorom CVE-2020-3956. Celkový priebeh odhalenia chyby až po jej opravu a zverejnenie môžeš vidieť na prehľadnej časovej osi:
- 1. apríla 2020 – Úvodný report chyby zaslaný spoločnosti VMware.
- 3. apríla 2020 – Úspešná reprodukcia chyby spoločnosťou VMware
- 30. apríla 2020 – Vydanie opráv pre riešenia vCloud Director 9.7.0.5 a 10.0.0.2
- 13. mája 2020 – Pridelené označenie zraniteľnosti CVE-2020-3956
- 19. mája 2020 – Vydanie opráv pre riešenia vCloud Director 9.1.0.4 a 9.5.0.
- 19. mája 2020 – Zverejnené bezpečnostné odporúčanie VMSA-2020-0010
- 2. júna 2020 – Zverejnenie informácií o zraniteľnosti na blogu spoločnosti
Pre podrobnejší a detailnejší popis zraniteľnosti odporúčame navštíviť blog spoločnosti Citadelo dostupný v anglickom jazyku.
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Slováci našli nový spôsob, ako „expresne zbohatnúť”. Netušia, že ich pripraví o všetko
Slovenské vlaky dostanú dôležitú novinku. S touto vychytávkou sa čoskoro stretneš aj ty
Ukradli najdôležitejšie dáta. Nedávny ruský kyberútok pocítia aj Slováci, na toto sa musíš pripraviť
Odhalili desiatky podvodných e-shopov na Slovensku. Vyskúšali sme ich a neverili vlastným očiam (+zoznam)
Pozor: Slovákom v sekunde vezme všetky peniaze. Nová hrozba zneužíva milovanú apku
- 24 hod
- 48 hod
- 7 dní
-
- EÚ chystá veľkú zmenu. Tisíce Slovákov prídu o vodičák
- Veľký elektropredajca krachuje. Má poslednú šancu, ako sa zachrániť
- Revolúcia odštartovala. Spustili výrobu prelomovej batérie bez lítia
- Čakáme na neho 25 rokov. Prichádza jeden z najlepších Star Wars seriálov
- Pozor: Slovákom v sekunde vezme všetky peniaze. Nová hrozba zneužíva milovanú apku
-
- EÚ chystá veľkú zmenu. Tisíce Slovákov prídu o vodičák
- Veľký elektropredajca krachuje. Má poslednú šancu, ako sa zachrániť
- Revolúcia odštartovala. Spustili výrobu prelomovej batérie bez lítia
- Čakáme na neho 25 rokov. Prichádza jeden z najlepších Star Wars seriálov
- Pozor: Slovákom v sekunde vezme všetky peniaze. Nová hrozba zneužíva milovanú apku
-
- Veľký deň pre ľudstvo: NASA zachytila zašifrovanú správu z hlbokého vesmíru
- EÚ chystá veľkú zmenu. Tisíce Slovákov prídu o vodičák
- Prelom: Vedci prvýkrát umelo vytvorili čiernu dieru. Padli im sánky, keď začala žiariť
- EÚ stráca trpezlivosť. Obľúbenej sociálnej sieti Slovákov hrozí zákaz
- Od týchto noviniek sa Slováci neodlepia. Netflix a ďalší ti v máji vyrazia dych
Európska komisia schválila prevzatie U.S. Steel japonským koncernom Nippon Steel
Aktuálne: Toto poteší všetkých Slovákov. Obľúbená banka spustila obrovskú vychytávku
Česko si kvôli kybernetickým útokom predvolalo ruského veľvyslanca
Nepochopíš, ako si existoval bez nej. Vďaka novinke YouTube sa už nikdy nebudeš nudiť
Platforma Voice of Europe sa dostane na sankčný zoznam EÚ
Copyright© 2024 by Startitup, s. r. o. Všetky práva vyhradené