聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

刚刚，网络安全研究员在 VMware 的 Cloud Director 平台上发现了一个新漏洞，可导致攻击者获得对敏感信息的访问权限并控制整个基础设施中的私有云。

该漏洞的编号是 CVE-2020-3956，是一个代码注入缺陷，因不正确的输入处理而导致，可被通过身份验证的攻击者将恶意流量发送给 Cloud Director，从而导致任意代码执行的后果。

该漏洞的 CVSS v3 评分为8.8 分，属于“严重”漏洞级别。

VM Cloud Director 此前被称为 vCloud Director，是一款云服务交付平台，用于虚拟中心管理、数据中心扩展和云迁移并托管自动化工具。该软件的用户是遍布全球的云服务提供商和企业公司。

VMware 公司指出，该漏洞可通过基于HTML5 和 Flex 的 UI、API Explorer 接口和 API 访问权限遭利用。该漏洞影响 VMware Cloud Director10.0.0.2 之前的 10.0.x 版本、9.7.0.5 之前的 9.7.0.x版本、9.5.0.6 之前的 9.5.0.x 版本以及9.1.0.4 之前的9.1.0.x 版本。

该漏洞是由位于布拉格的道德黑客公司 Citadelo 在受雇于某财富五百强公司客户，对其云基础设施执行安全审计时发现的。同时该公司还发布了 PoC，以证实该exploit 的严重性。

Citadelo 公司在报告中指出，“一切都始于一次简单的异常。我们在 vCloud Director 中输入 ${7*7} 作为 SMTP 服务器的主机名时，我们收到如下错误消息：String value has aninvalid format, value:[49]（字符串值的格式无效，值为[49]）。它表明出现了某种形式的表达语言注入，因为我们能够在服务器端评估简单的算术函数。”

研究人员以此作为入口点，能够访问任何 Java 类（如 java.io.BufferedReader）并通过传递恶意 payload 进行实例化。

Citadelo 公司表示研究员利用该缺陷可执行如下动作：

• 查看内部系统数据库内容，包括分配到该基础设施的任意客户的密码哈希。

• 修改系统数据库，访问分配给 Cloud Director 中不同组织机构的外部虚拟机。

• 从“组织机构管理员”权限提升到“系统管理员”权限，仅通过一个 SQL 查询更改密码就能够访问所有的云账户。

• 修改 Cloud Director 的登录页面，导致攻击者能够以明文形式抓取另外一名客户的密码，包括系统管理员账户的密码。

• 读取和客户相关的其它敏感数据，如全称、邮件地址或IP地址。

研究人员在4月1日将问题私下告知 VMware 公司后，后者发布一系列更新修复了这些缺陷，而这些更新设计的版本包括 9.1.0.4、9.5.0.6、9.7.0.5 和10.0.0.2。

VMware公司还发布应变措施，缓解利用该问题引发的攻击风险。

Citadelo公司的首席执行官 Tomas Zatko 表示，“通常而言，云基础设施被认为相对安全，因为它的核心实现了多种不同的安全层如加密、网络流量隔离或客户细分。然而，在任何应用程序中都可找到安全漏洞，包括云服务提供商本身。”

推荐阅读

VMware 软件被曝其史上最严重的信息泄露漏洞之一，影响大量虚拟机和主机

VMware 修复 Fusion 和 Horizon 中的两个提权漏洞

奇安信代码卫士帮助微软和 VMware 修复多个高危漏洞，获官方致谢

原文链接

https://thehackernews.com/2020/06/vmware-cloud-director-exploit.html

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 点个 “在看” ，加油鸭~