利用VMwareCloudDirector漏洞，黑客可以搶占公司服務器

等級為CVSSV3 8.8并分配給CVE-2020-3956，云服務交付平臺中的代碼注入漏洞可能使攻擊者能夠訪問敏感數據并接管企業(yè)內私有云的控制。

黑客還可以利用此漏洞來控制云中的所有客戶。據發(fā)現該漏洞的道德黑客公司Citadelo稱，它還授予訪問權限以修改整個基礎結構的登錄部分，以捕獲另一個客戶的用戶名和密碼。

Citadelo首席執(zhí)行官Tomas Zatko說：“通常，云基礎架構被認為是相對安全的，因為其核心內實現了不同的安全層，例如加密，網絡流量隔離或客戶細分。”

“但是，可以在任何類型的應用程序中找到安全漏洞，包括他們自己的云提供商。”

Citadelo今年被一家財富500強企業(yè)客戶聘用，以執(zhí)行安全審核并調查其基于VMware Cloud Director的云基礎架構。

利用代碼注入漏洞，公司的研究人員能夠查看內部系統(tǒng)數據庫的內容，包括分配給信息系統(tǒng)的所有客戶的密碼哈希。

從那里，他們能夠修改系統(tǒng)數據庫以竊取在Cloud Director中分配給不同組織的外部虛擬機(VM)。該漏洞還使他們可以將特權從客戶帳戶升級到系統(tǒng)管理員，并可以訪問所有云帳戶。

最后，他們可以讀取與客戶有關的所有敏感數據，例如全名，電子郵件地址或IP地址。

該漏洞最初于4月1日報告給VMware，并于本月底和5月發(fā)布了補丁程序。尚未應用此修復程序的組織仍然容易受到攻擊。

受影響的人員包括使用VMware vCloud Director的公共云提供商，使用VMware vCloud Director的私有云提供商，使用VMware vCloud Director技術的企業(yè)以及使用VMware Cloud Director的任何政府身份。

文章名稱：利用VMwareCloudDirector漏洞，黑客可以搶占公司服務器
當前路徑：http://www.jbt999.com/news11/201361.html

成都網站建設公司_創(chuàng)新互聯，為您提供面包屑導航、響應式網站、網站排名、網站策劃、ChatGPT、Google

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：[email protected]。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯