表达语言注入错误使攻击者完全访问了私人云帐户
VMware修补了VMware Cloud Director中的一个漏洞,该漏洞通过直接的代码注入打开了完全收购组织云基础架构的大门。
云导演允许云提供商,政府,以及大型企业来创建和管理虚拟数据中心,并为全球500,000多个客户提供服务。
但是,Citadelo的研究人员发现的缺陷可以使攻击者能够操纵单个简单的表单提交并接管这些私有云,访问敏感数据并修改登录以捕获其他用户的用户名和密码。
该公司已发布概念证明这证明了行动中的利用:
Citadelo首席执行官Tomas Zatko说:“通常,云基础架构被认为是相对安全的,因为在其核心内实施了不同的安全层,例如加密,网络流量隔离或客户细分。”
“但是,可以在任何类型的应用程序中找到安全漏洞,包括云提供商本身。”
例行安全审核
由研究人员TomášMelicher和LukášVáclavík发现的代码注射脆弱性,作为财富500强公司常规安全审计的一部分,允许身份验证的演员使用基于Web的界面或API呼叫将恶意流量发送给VMware Cloud Director。beplay体育能用吗
该公司警告说:“使用VMware Cloud Director向潜在新客户提供免费试用的云提供商处于高风险,因为不受信任的演员可以迅速利用。”
该团队说,发现始于简单的异常。$ {7*7}作为VCLOUD导演中SMTP服务器的主机名,生成了错误消息:字符串值的格式无效,值:[49]。
推荐的研究人员铲$ 31k的Bug Bounty用于在Facebook中标记SSRF漏洞
这使他们怀疑某种形式的表达语言注入,因为他们能够评估服务器端的简单算术功能。
通过一些实验,他们可以调用简单的Java代码,访问任意Java类,并在没有参数的情况下创建实例,然后创建类的新实例。
下一步是获得对外国云的访问。研究人员发现,与VCloud相关的所有敏感数据都存储在远程数据库中,并确定了其凭据存储的位置。
不幸的是,凭据是使用AE进行加密的,并在VCLOUD主管的源代码中进行了加密密钥硬编码。
将其分解后,他们发现Vcloud加密是由自定义类处理的 -com.vmware.vcloud.common.crypto.CencryptionManager- 使用Java代码段可以轻松获得数据库的凭据。
他们说:“现在,我们可以完全访问VCLOUD数据库,我们可以访问所有数据。”
无限制的访问
研究人员发现,他们能够查看内部系统数据库的内容,包括密码哈希,并可以修改它以窃取云主管内分配给不同组织的外部虚拟机。
他们还可以将组织管理员(通常是客户帐户)的特权升级到系统管理员,使他们可以访问所有云帐户。
他们可以将登录页面修改为Cloud Director,允许攻击者以纯文本(包括系统管理员帐户)捕获其他客户的密码。
他们可以读取与客户有关的其他敏感数据,例如全名,电子邮件地址和IP地址。
VMware将漏洞归类为“重要”,并发布了包含修复程序的产品的新版本。
尽管VMware已为现在无法进行更新的客户发布了解决方法,但目前尚无旧版本的独立补丁。
