Slováci odhalili kritickú chybu: Známy softvér svetovej cloudovej firmy sa dal ľahko hacknúť
Slovákom zo spoločnosti Citadelo sa podarilo odhaliť závažnú zraniteľnosť v produkte VMWare Cloud Director, ktorá im umožní získať plnú kontrolu nad infraštruktúrou cloudového poskytovateľa.
Spoločnosť Citadelo pôsobiaca na Slovensku prostredníctvom mailu od Tomáša Zaťka upozornila redakciu FonTech.sk na svoj blog, ktorý popisuje závažnú zraniteľnosť v produkte VMWare Cloud Director. Slovenská firma už stihla o probléme informovať aj samotný VMWare.
Chyba, ktorá ohrozuje firmy využívajúce špecifický produkt VMWare
CEO Citadelo, Tomáš Zaťko, s ktorým sme sa už v minulosti rozprávali o aj kybernetickej bezpečnosti na Slovensku, v blogu uviedol, že odhalená zraniteľnosť umožní útočníkovi získať plnú kontrolu nad infraštruktúrou cloudového poskytovateľa, ktorý využíva produkt VMWare Cloud Director. Samotná zraniteľnosť má pritom hodnotenie závažnosti 8,8/10.
Vo videu uvedenom vyššie popisuje chybu etický hacker Tomáš Melicher, ktorý je zároveň autorom tejto zraniteľnosti. Typ útoku je známy ako code injection a pomocou neho dokáže útočník zneužiť chybu overenia vstupu v danom zabezpečení softvéru, pričom je schopný okamžite zaviesť škodlivý kód. V prvom kroku do testovacieho servera odoslal vstup vo formáte XML, pričom na ňom dokázal spustiť jednoduchú aritmetickú operáciu.
Úpravou kódu však vytiahol zo servera informácie o aktuálne prihlásenom používateľovi. V tomto momente môže potencionálny útočník vykonávať príkazy na úrovni operačného systému samotného cloudového poskytovateľa, vďaka čomu viacerými spôsobmi dokáže získať prístup k cudzím cloudom. Napríklad pomocou jednoduchého skriptu vie zmeniť heslo systémovému administrátorovi.
Ide tak o naozaj závažnú zraniteľnosť, ktorá umožní útočníkovi získať prístup ku všetkým cloudom spravovaným systémovým administrátorom a vážne tak ohroziť dáta spoločností a virtuálne stanice.
Chyba bola oznámená spoločnosti VMWare už 1. apríla 2020. Tá stihla vydať bezpečnostnú záplatu opravujúcu zraniteľnosť do konca rovnakého mesiaca, na čo bolo v zápätí zraniteľnosti oficiálne pridelené označenie identifikátorom CVE-2020-3956. Celkový priebeh odhalenia chyby až po jej opravu a zverejnenie môžeš vidieť na prehľadnej časovej osi:
- 1. apríla 2020 – Úvodný report chyby zaslaný spoločnosti VMware.
- 3. apríla 2020 – Úspešná reprodukcia chyby spoločnosťou VMware
- 30. apríla 2020 – Vydanie opráv pre riešenia vCloud Director 9.7.0.5 a 10.0.0.2
- 13. mája 2020 – Pridelené označenie zraniteľnosti CVE-2020-3956
- 19. mája 2020 – Vydanie opráv pre riešenia vCloud Director 9.1.0.4 a 9.5.0.
- 19. mája 2020 – Zverejnené bezpečnostné odporúčanie VMSA-2020-0010
- 2. júna 2020 – Zverejnenie informácií o zraniteľnosti na blogu spoločnosti
Pre podrobnejší a detailnejší popis zraniteľnosti odporúčame navštíviť blog spoločnosti Citadelo dostupný v anglickom jazyku.
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Hackeri získali 47 TB dát a uzamkli zamestnancov v budove. Ruský dodávateľ dronov ostal paralyzovaný
Ušetria ti kopu práce každý deň. TOP 10 rozšírení do prehliadača, ktoré absolútne potrebuješ
Aj ty môžeš byť hacker. Toto je TOP 10 nástrojov, s ktorými sa nabúraš (takmer) hocikam
Máš plné zuby Windowsu? Toto je TOP 10 distribúcií Linuxu pre hráčov, študentov a ďalších
Slovákom hrozí to najhoršie. Uniklo 16 miliárd hesiel a nikto si to nevšimol, hackeri majú prístup ku všetkému
NAJČÍTANEJŠIE ZO STARTITUP
Prekvapivý zvrat na trhu práce mení rebríček najžiadanejších absolventov vysokých škôl. Jednotkou už nie je IT
EÚ schválila 18. balík sankcií proti Rusku. Fico ustúpil tlaku
Fico otočil, EÚ prijala nový balík sankcií proti Rusku. Takéto majú byť garancie pre Slovensko
Snoop Dogg sa stal spolumajiteľom známeho futbalového klubu: „Príbeh klubu a regiónu ma oslovil“
Analýza miliónov letov šokuje cestujúcich a odhaľuje prekvapivú pravdu o spoľahlivosti európskych aeroliniek
- 24 hod
- 48 hod
- 7 dní
-
- Najväčší hit Netflixu úplne prehliadli. Toto sú podľa kritikov najlepšie seriály roka
- Prehliadaná krajina prechádza desivou premenou za miliardy. Čína ju zbrojí na úroveň superveľmocí
- Krvavý turnaj je späť. Mortal Kombat 2 dostal prvé video, dorazí čoskoro
- Tento pohon áut vôbec nie je taký čistý, ako si mysleli. V novej štúdii ho elektromobily rozdupali
- Záhadný kameň v Egypte nechal vedcov v nemom úžase. Odhalil tajomstvo ukryté 5000 rokov
-
- Vedci našli niečo, čo popiera fyziku. Výbuch jadrovej bomby vytvoril materiál, ktorý nemal existovať
- Českí filmári zobrali „dezolátov“ na Ukrajinu a ukázali im vojnu. Takto vyzerali ich reakcie (VIDEO)
- Prehliadaná krajina prechádza desivou premenou za miliardy. Čína ju zbrojí na úroveň superveľmocí
- Netflix opäť trafil do čierneho. Drsnú krimi sériu považujú kritici za jeden z najlepších seriálov roka
- Nočná mora Rusov funguje. Ukrajina dostala od USA špeciálne zariadenia, ktoré môžu rozhodnúť vojnu
-
- Väčšina Slovákov o nej ani netuší. Ak porušíš túto povinnosť, hrozí ti pokuta 1200 €
- Taiwan ukázal svetu, čo sa stane, ak zaútočí Čína. V kľúčovom teste všetkých zarazili
- Našiel som dokonalé rodinné auto. Na novej Dacii som prešiel 1 400 km do Chorvátska, otvorila mi oči
- POZOR: Nová dopravná značka mätie vodičov. Toto musíš spraviť, keď ju uvidíš
- Týmto raketám neunikne nikto. Kórea do nich vložila niečo, čo zlikviduje akýkoľvek cieľ
Svetový úspech vedcov SAV: Slováci vyvinuli zbraň proti vírusu, ktorý môže spúšťať rakovinu
Aplikácia Slovenskej pošty sa mení na digitálnu pobočku: Pribudnú kľúčové novinky
Slováci nakupujú inak, predajcov pribúda. E-shopy u nás prechádzajú premenou
Slovákov masívne ohrozuje nový typ kybernetického útoku. Je horší než phishing
USA zavedú jednotné clá. Zasiahne to vyše 150 krajín naraz
NAJČÍTANEJŠIE ZO STARTITUP