VMware漏洞使私有云开放到接管
英国BioBank将AWS托管数据分析平台与DNANEXUS进行速度研究
腾讯云团队与银行服务的亚当队
北欧金融电气敦促金融扫盲在为时已晚之前认真对待
Gartner:遥控换班CIO优先事项
ELISA在2023年将插头拉3G网络
瑞典矿业公司LKAB改装数据备份设置以支持停机时间避免目标
检查点无法解决Windows DNS中的关键SIGRED错误
微软希望开发人员是量子启发
英国量子技术项目获得70米7000万英镑
为什么Govtech正在建立自己的机器人堆栈
汇丰平台使用AI更快地分析交易数据
MSP xchanging攻击兰福厂事件
Twitter黑客辐射:网络犯罪分子踪迹的调查人员
澳大利亚公司如何防御供应链攻击
Qumulo Shift在云中向AWS S3开辟了扩展的NAS
英国政府需要一个加入的互联网政策
Venafi购买云保护服务Jetstack
糟糕的连接看到家庭工人每天减掉半小时的工作
Aryaka,8x8增强了跨托管SD-WAN的企业通信
Nutanix在AWS中发射群集用于混合云超级融合基础设施
开源披露中的失败将用户面临风险
ELISA享有5G基站能源,诺基亚液体冷却排放减排
边境队颁奖奖颁发£3.1米合同
Twitter通过针对性的羽毛钓鱼攻击确认
偏远工人的应用程序性能成为企业的主要网络问题
英特尔,VMware拓宽跨无线电接入网络的合作
Nus在神经形态计算突破中开发E-Skin系统
O2完成创新的英国网络安全项目蓝图,用于自驾车
portworx将应用程序配置文件添加到持久容器存储
创新英国寻求与技术改造航空的方法
苏格兰的安全性弹性中心概念去了全国
英特尔,VMware拓宽跨无线电接入网络的合作
NHS寻求新的国家数据守护者健康和护理
维尔京媒体,思科在金丝雀码头推出了首次交易部署的OpenRoaming
博客平台鬼魂通过盐脆弱攻击
英国Comms市场为O2和Virgin Media确认合并
高通公司旨在利用“世界上最先进”移动无线组合进入Wi-Fi 6e
AWS抨击吉迪云合同调查中的白宫合作
荷兰银行的交易监控实用程序获得绿灯
华为技术禁止英国国家通信基础设施
机器学习如何弥合通信差距
劳动派对是Blackbaud Ransomware攻击的最新受害者
StorageOS V2将Kubernetes存储体积的“迷你大脑”
TelefónicaDeutschland,贝尔加拿大选择爱立信担任5G网络合作伙伴
秘密邮局优惠导致地平线中的愤怒丑闻
“主要”数据中心停电所产生的成本继续上升,正常研究所研究表明
HMRC扩展了税务数字计划
Xen Orchestra盐加密杂船的最新受害者
IHS Markit致力于为期三年的数据和基础架构迁移到AWS云
您的位置:首页 >政策法规 >

VMware漏洞使私有云开放到接管

2021-09-13 14:43:58 [来源]:

VMware已移动以消除其云导演中的大量漏洞 - 直到最近被称为vCloud Director - 云提供商使用的产品,这些产品可能允许网络犯罪分子接管企业私有云,exfiltrate敏感数据和修改登录以捕获凭证其他用户。

Bug中心关于云导演中的误区,导致代码注入漏洞,这使恶意演员远程执行功能。

它可以通过HTML5和Flex的UIS,API Explorer界面和API Access进行利用,并由研究人员TomášMelicher发现,并在VMware客户的预定渗透测试练习期间由CitadeloLukášVáclavík。

相对简单的漏洞 - CVE-2020-3056 - 这是显着的,因为如果成功在云提供商处开发,攻击者可能会损害该公司在供应链攻击中持有的其他私有云。

“一般来说,云基础设施被认为是相对安全的,因为在其核心内实现了不同的安全层,例如加密,隔离网络流量或客户分割,”Citadelo CeoTomášzatko表示。“但是,安全漏洞可以在任何类型的应用程序中找到,包括云提供者本身。”

Melicher和Václavík表示,他们已经能够利用漏洞来执行许多行动。

这些包括在内部系统数据库中查看内容,包括分配给目标基础架构的任何客户的密码哈希;修改系统数据库窃取分配给云导演中不同组织的虚拟机(VM);从组织管理员到系统管理员的权限升级权限,可以访问所有帐户;修改云导演登录页面以捕获其他客户帐户,包括系统管理员帐户;并阅读客户数据。

VMware于4月1日前获悉该漏洞,新版本的云总监在4月底之前可获得修复,其他人在5月期间随后。VMware还在其网站上发布了进一步的信息和解决方法,以便此时无法应用补丁。

“我们还要感谢VMware在负责任的披露过程中合作,并努力快速解决漏洞,”Citadelo说。

它表示,本公开突出了常规安全渗透测试的关键性,以降低暴露风险。有关该漏洞的更多信息可以在此处找到。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。