Slováci odhalili kritickú chybu: Známy softvér svetovej cloudovej firmy sa dal ľahko hacknúť
Slovákom zo spoločnosti Citadelo sa podarilo odhaliť závažnú zraniteľnosť v produkte VMWare Cloud Director, ktorá im umožní získať plnú kontrolu nad infraštruktúrou cloudového poskytovateľa.
Spoločnosť Citadelo pôsobiaca na Slovensku prostredníctvom mailu od Tomáša Zaťka upozornila redakciu FonTech.sk na svoj blog, ktorý popisuje závažnú zraniteľnosť v produkte VMWare Cloud Director. Slovenská firma už stihla o probléme informovať aj samotný VMWare.
Chyba, ktorá ohrozuje firmy využívajúce špecifický produkt VMWare
CEO Citadelo, Tomáš Zaťko, s ktorým sme sa už v minulosti rozprávali o aj kybernetickej bezpečnosti na Slovensku, v blogu uviedol, že odhalená zraniteľnosť umožní útočníkovi získať plnú kontrolu nad infraštruktúrou cloudového poskytovateľa, ktorý využíva produkt VMWare Cloud Director. Samotná zraniteľnosť má pritom hodnotenie závažnosti 8,8/10.
Vo videu uvedenom vyššie popisuje chybu etický hacker Tomáš Melicher, ktorý je zároveň autorom tejto zraniteľnosti. Typ útoku je známy ako code injection a pomocou neho dokáže útočník zneužiť chybu overenia vstupu v danom zabezpečení softvéru, pričom je schopný okamžite zaviesť škodlivý kód. V prvom kroku do testovacieho servera odoslal vstup vo formáte XML, pričom na ňom dokázal spustiť jednoduchú aritmetickú operáciu.
Úpravou kódu však vytiahol zo servera informácie o aktuálne prihlásenom používateľovi. V tomto momente môže potencionálny útočník vykonávať príkazy na úrovni operačného systému samotného cloudového poskytovateľa, vďaka čomu viacerými spôsobmi dokáže získať prístup k cudzím cloudom. Napríklad pomocou jednoduchého skriptu vie zmeniť heslo systémovému administrátorovi.
Ide tak o naozaj závažnú zraniteľnosť, ktorá umožní útočníkovi získať prístup ku všetkým cloudom spravovaným systémovým administrátorom a vážne tak ohroziť dáta spoločností a virtuálne stanice.
Chyba bola oznámená spoločnosti VMWare už 1. apríla 2020. Tá stihla vydať bezpečnostnú záplatu opravujúcu zraniteľnosť do konca rovnakého mesiaca, na čo bolo v zápätí zraniteľnosti oficiálne pridelené označenie identifikátorom CVE-2020-3956. Celkový priebeh odhalenia chyby až po jej opravu a zverejnenie môžeš vidieť na prehľadnej časovej osi:
- 1. apríla 2020 – Úvodný report chyby zaslaný spoločnosti VMware.
- 3. apríla 2020 – Úspešná reprodukcia chyby spoločnosťou VMware
- 30. apríla 2020 – Vydanie opráv pre riešenia vCloud Director 9.7.0.5 a 10.0.0.2
- 13. mája 2020 – Pridelené označenie zraniteľnosti CVE-2020-3956
- 19. mája 2020 – Vydanie opráv pre riešenia vCloud Director 9.1.0.4 a 9.5.0.
- 19. mája 2020 – Zverejnené bezpečnostné odporúčanie VMSA-2020-0010
- 2. júna 2020 – Zverejnenie informácií o zraniteľnosti na blogu spoločnosti
Pre podrobnejší a detailnejší popis zraniteľnosti odporúčame navštíviť blog spoločnosti Citadelo dostupný v anglickom jazyku.
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Aj ty môžeš byť hacker. Toto je TOP 10 nástrojov, s ktorými sa nabúraš (takmer) hocikam
Máš plné zuby Windowsu? Toto je TOP 10 distribúcií Linuxu pre hráčov, študentov a ďalších
Slovákom hrozí to najhoršie. Uniklo 16 miliárd hesiel a nikto si to nevšimol, hackeri majú prístup ku všetkému
EXKLUZÍVNE: Slovákov okráda „falošná Alza”. Experti varujú, že ťa pripraví o všetky peniaze
Stačí, že spustíš populárne aplikácie. Notebooky odpočúvajú Slovákov, riešenie zatiaľ neexistuje
NAJČÍTANEJŠIE ZO STARTITUP
Dekan Lekárskej fakulty SZU skončil. Jeho meno sa spája s kauzou kolonoskopií
Ako ísť do dôchodku v 35 rokoch: Investičný byt ti zabezpečí pasívny príjem
Obľúbený grécky ostrov v plameňoch: Ministerstvo vydalo odporúčania pre Slovákov
„Zatiaľ ide o stovky miliónov eur.“ Zdechovský varuje, že zneužívanie eurofondov na Slovensku je len špička ľadovca
Pivo na Pohode: Zlatý Bažant predstavil vlastnú zónu aj menu na mieru, takto to vyzerá
- 24 hod
- 48 hod
- 7 dní
-
- Televízory Slovákov úmyselne zhoršujú kvalitu obrazu. Je to špinavý marketing, takto ho opravíš
- V spoľahlivosti nemajú konkurenciu. Týchto 5+1 automobiliek má najlepšie motory (PREHĽAD)
- Brusel chce zarezať telekomunikačných operátorov. Proti novému zákonu sú všetky štáty EÚ
- Najlepší akčný film roka po prechode na online trhá rekordy. Aj s dabingom sa dá pozrieť úplne zadarmo
- Totálna nehoráznosť: Čínska vojnová loď použila laser proti lietadlu EÚ, Nemci reagujú tvrdo
-
- V spoľahlivosti nemajú konkurenciu. Týchto 5+1 automobiliek má najlepšie motory (PREHĽAD)
- Televízory Slovákov úmyselne zhoršujú kvalitu obrazu. Je to špinavý marketing, takto ho opravíš
- Najlepší akčný film roka po prechode na online trhá rekordy. Aj s dabingom sa dá pozrieť úplne zadarmo
- Totálna nehoráznosť: Čínska vojnová loď použila laser proti lietadlu EÚ, Nemci reagujú tvrdo
- Brusel chce zarezať telekomunikačných operátorov. Proti novému zákonu sú všetky štáty EÚ
-
- Rusi ani netušili, čo im zlikvidovalo najdrahší systém. Ukrajina použila zbraň, akú svet ešte nevidel
- V Európe sa vylodili tisícky čínskych elektromobilov. Doviezla ich obrovská loď so šokujúcim pohonom a výkonom
- V spoľahlivosti nemajú konkurenciu. Týchto 5+1 automobiliek má najlepšie motory (PREHĽAD)
- Slovensko čaká najväčšia dopravná novela za roky. Nový zákon udrie na cestných pirátov aj e-kolobežky (PREHĽAD)
- Západ nič také nemá. „Spojenec“ Ruska nasadí laser na stíhačky budúcnosti, rakety po ňom „slepnú“
Trump mení stratégiu: Zbrane pre Ukrajinu pôjdu cez NATO, voči Rusku chystá zásadné vyhlásenie
Takto sa zneužíva home office. Odborári odhalili praktiky, ktoré sa ťa môžu týkať
Očkovanie neodmietali nevzdelaní. Nová štúdia odhalila iný faktor
Tržby TSMC prekonali očakávania. Čipy pre AI lámu rekordy
Slovensko má najdrahšie palivá v regióne. Analytici majú vysvetlenie
NAJČÍTANEJŠIE ZO STARTITUP