Slováci odhalili kritickú chybu: Známy softvér svetovej cloudovej firmy sa dal ľahko hacknúť
Slovákom zo spoločnosti Citadelo sa podarilo odhaliť závažnú zraniteľnosť v produkte VMWare Cloud Director, ktorá im umožní získať plnú kontrolu nad infraštruktúrou cloudového poskytovateľa.
Spoločnosť Citadelo pôsobiaca na Slovensku prostredníctvom mailu od Tomáša Zaťka upozornila redakciu FonTech.sk na svoj blog, ktorý popisuje závažnú zraniteľnosť v produkte VMWare Cloud Director. Slovenská firma už stihla o probléme informovať aj samotný VMWare.
Chyba, ktorá ohrozuje firmy využívajúce špecifický produkt VMWare
CEO Citadelo, Tomáš Zaťko, s ktorým sme sa už v minulosti rozprávali o aj kybernetickej bezpečnosti na Slovensku, v blogu uviedol, že odhalená zraniteľnosť umožní útočníkovi získať plnú kontrolu nad infraštruktúrou cloudového poskytovateľa, ktorý využíva produkt VMWare Cloud Director. Samotná zraniteľnosť má pritom hodnotenie závažnosti 8,8/10.
Vo videu uvedenom vyššie popisuje chybu etický hacker Tomáš Melicher, ktorý je zároveň autorom tejto zraniteľnosti. Typ útoku je známy ako code injection a pomocou neho dokáže útočník zneužiť chybu overenia vstupu v danom zabezpečení softvéru, pričom je schopný okamžite zaviesť škodlivý kód. V prvom kroku do testovacieho servera odoslal vstup vo formáte XML, pričom na ňom dokázal spustiť jednoduchú aritmetickú operáciu.
Úpravou kódu však vytiahol zo servera informácie o aktuálne prihlásenom používateľovi. V tomto momente môže potencionálny útočník vykonávať príkazy na úrovni operačného systému samotného cloudového poskytovateľa, vďaka čomu viacerými spôsobmi dokáže získať prístup k cudzím cloudom. Napríklad pomocou jednoduchého skriptu vie zmeniť heslo systémovému administrátorovi.
Ide tak o naozaj závažnú zraniteľnosť, ktorá umožní útočníkovi získať prístup ku všetkým cloudom spravovaným systémovým administrátorom a vážne tak ohroziť dáta spoločností a virtuálne stanice.
Chyba bola oznámená spoločnosti VMWare už 1. apríla 2020. Tá stihla vydať bezpečnostnú záplatu opravujúcu zraniteľnosť do konca rovnakého mesiaca, na čo bolo v zápätí zraniteľnosti oficiálne pridelené označenie identifikátorom CVE-2020-3956. Celkový priebeh odhalenia chyby až po jej opravu a zverejnenie môžeš vidieť na prehľadnej časovej osi:
- 1. apríla 2020 – Úvodný report chyby zaslaný spoločnosti VMware.
- 3. apríla 2020 – Úspešná reprodukcia chyby spoločnosťou VMware
- 30. apríla 2020 – Vydanie opráv pre riešenia vCloud Director 9.7.0.5 a 10.0.0.2
- 13. mája 2020 – Pridelené označenie zraniteľnosti CVE-2020-3956
- 19. mája 2020 – Vydanie opráv pre riešenia vCloud Director 9.1.0.4 a 9.5.0.
- 19. mája 2020 – Zverejnené bezpečnostné odporúčanie VMSA-2020-0010
- 2. júna 2020 – Zverejnenie informácií o zraniteľnosti na blogu spoločnosti
Pre podrobnejší a detailnejší popis zraniteľnosti odporúčame navštíviť blog spoločnosti Citadelo dostupný v anglickom jazyku.
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
Dominikovi z účtu zmizlo 900 € a nikto nevie, kde skončili. Banky varujú Slovákov, aby neprišli o všetko
Ak zneužiješ umelú inteligenciu, utopíš sa v problémoch. EÚ schválila prísne pravidlá
Vymysleli unikátnu sociálnu sieť. AI v nej ťa zbaví osamelosti
Hackeri môžu mať aj tvoje heslá. Na Slovákov zneužili známu apku, podvod propagoval aj Google
Pirátiš filmy a seriály na internete? Toto už vo veľkom skončí, nové opatrenia platia aj na Slovensku
- 24 hod
- 48 hod
- 7 dní
-
- Ľudia ho už teraz vypískali. Sci-fi prúser Netflixu dostal trailer na druhý diel
- Slovensko bude navždy zaostávať. Šutaj Eštok zrušil kľúčový projekt digitalizácie, lebo sa mu nepáči
- Toyota našla jediný spôsob, ako pochovať elektromobily. Takto chce spaľováky zbaviť emisií
- Ľudstvo urobí absurdnú vec, aby šetrilo energiu. Je to chyba, hovorí štúdia zo Slovenska
- Majstrovské dielo alebo pohroma? Nový seriál od tvorcov Hry o tróny videli prví diváci, tu je ich verdikt
-
- Ľudstvo urobí absurdnú vec, aby šetrilo energiu. Je to chyba, hovorí štúdia zo Slovenska
- Intel odhalil najvýkonnejší procesor na svete, ktorý zlomil 4 svetové rekordy. Zo slovenskej ceny sa rozplačeš
- Toyota našla jediný spôsob, ako pochovať elektromobily. Takto chce spaľováky zbaviť emisií
- Majstrovské dielo alebo pohroma? Nový seriál od tvorcov Hry o tróny videli prví diváci, tu je ich verdikt
- Slovensko bude navždy zaostávať. Šutaj Eštok zrušil kľúčový projekt digitalizácie, lebo sa mu nepáči
-
- Medzi Zemou a Marsom sa deje niečo mimoriadne zvláštne
- Marvel práve zrušil tri svoje filmy, týchto hrdinov si videl naposledy
- Ľudstvo urobí absurdnú vec, aby šetrilo energiu. Je to chyba, hovorí štúdia zo Slovenska
- Blíži sa dychberúce zatmenie Slnka. Milióny ľudí uvidia úžasný vesmírny jav
- Je tu šanca, že nepoužívaš najrýchlejší prehliadač. Nový test konečne odhalil pravdu
Musk priznal užívanie omamných látok. Pomáhajú mu odbúravať negatívne myšlienky, investori sú znepokojení
Nemecko zintenzívnilo výskum a vývoj v oblasti umelej inteligencie
Samosprávy môžu žiadať financie na zaistenie kyberbezpečnosti do konca apríla
AI upozornila na snahy Ruska o zmenu etnického zloženia Krymu
Tender na nový informačný systém obchodného registra stále neukončili
Copyright© 2024 by Startitup, s. r. o. Všetky práva vyhradené