محققان امنیت سایبری در تاریخ ۱ ژوئن ۲۰۲۰ جزئیات مربوط به یک آسیبپذیری جدید در پلتفرم VMware Cloud Director را فاش کردند که بهطور بالقوه امکان حمله به اطلاعات حساس را فراهم میکند و cloudهای خصوصی را در کل زیرساختها کنترل میکند.
این آسیبپذیری که عنوان CVE-2020-3956 به آن اختصاص داده شده است[۱]، یک نقص تزریق کد ناشی از مدیریت ورودی نادرست است که میتواند توسط یک مهاجم تصدیق هویت شده سوءاستفاده شود تا بتواند ترافیک موذی را به Cloud Director ارسال کند و منجر به اجرای کد دلخواه شود.
این آسیبپذیری امتیاز ۸٫۸ از ۱۰ در مقیاس شدت آسیبپذیری CVSS v.3 را دریافت کرده است که آن را به یک آسیبپذیری مهم تبدیل میکند.
VMware Cloud Director یک نرمافزار پیادهسازی، اتوماسیون و مدیریت محبوب است که برای بهرهبرداری و مدیریت منابع ابری استفاده میشود[۲] و به مشاغل امکان میدهد مراکز داده توزیعشده در نقاط مختلف جغرافیایی را به مراکز داده مجازی توزیع کنند.
طبق گفته این شرکت، این آسیبپذیری را میتوان از طریق رابط کاربری مبتنی بر HTML5 و Flex، رابط API Explorer و دسترسی API مورد بهرهبرداری قرار داد.
این آسیبپذیری تحت تأثیر VMware Cloud Director نسخه ۱۰٫۰ قبل از ۱۰٫۰٫۰٫۲، ۹٫۷٫۰ قبل از ۹٫۷٫۰٫۵، ۹٫۵٫۰ قبل از ۹٫۵٫۰٫۶ و ۹٫۱٫۰ قبل از ۹٫۱٫۰٫۴ است.
این آسیبپذیری توسط یک شرکت ethical hacking مستقر در پراگ به نام Citadelo کشف شد، پسازآنکه در اوایل سال جاری توسط یک مشتری نامشخص به نام Fortune 500 استخدام شده بود تا یک مأموریت امنیتی برای زیرساختهای ابری آن انجام دهد.
این شرکت همچنین یک اثبات ادعا را برای اثبات شدت این بهرهبرداری منتشر کرده است[۳و۴].
Citadeloدر گزارش خود دراینباره اشاره کرد[۵]: “همهچیز فقط با یک ناهنجاری ساده شروع شد. وقتی بهعنوان نام میزبان سرور SMTP در vCloud Director عبارت ${۷*۷} را وارد کردیم، پیام خطای زیر را دریافت کردیم: “مقدار رشته دارای یک قالب نامعتبر است، value: 49”. این موضوع نشاندهندهی نوعی تزریق Expression Language است[۶]، زیرا ما توانستیم توابع حسابی ساده را در سمت سرور ارزیابی کنیم.”
محققان با استفاده از این موضوع بهعنوان یک نقطه ورود، گفتند که آنها میتوانند به کلاسهای arbitrary جاوا (بهعنوانمثال java.io.BufferedReader) دسترسی پیدا کرده[۷] و با عبور دادن payloadهای موذی، سریعاً آنها راinstantiate کنند.
Citadelo دراینباره گفت که با بهرهبرداری از این نقص توانستهاند مجموعهی اقدامات زیر را انجام دهد:
- مشاهده محتوای پایگاه دادهی سیستم داخلی، ازجمله hashهای رمز عبور برای هر مشتری که به این زیرساخت اختصاص یافته است.
- ویرایش پایگاه داده سیستم برای دسترسی به ماشینهای مجازی خارجی (VM) اختصاص داده شده به سازمانهای مختلف موجود در Cloud Director
- افزایش سطح دسترسی از Organization Administratorبه System Administratorتنها با تغییر کلمه عبور از طریق SQL queryو دسترسی بهتمامی حسابهای کاربری cloud
- ویرایش صفحه ورود Cloud Director به مهاجم اجازه میدهد کلمات عبور مشتری دیگری را بهصورت متن ساده ازجمله حسابهای مدیر سیستم ذخیره کند.
- خواندن سایر دادههای حساس مرتبط با مشتریان مانند نامهای کامل، آدرسهای پست الکترونیک یا آدرسهای IP
بعدازاینکه Citadelo بهطور خصوصی یافتههای خود را در اول آوریل ۲۰۲۰ به VMware اعلام کرد، این شرکت در نسخههای ۹٫۱٫۰٫۴ ، ۹٫۵٫۰٫۶ ، ۹٫۷٫۰٫۵ و ۱۰٫۰٫۰٫۲ این نقصها را در یک سری از بهروزرسانیها برطرف کرد.
VMware همچنین راهحلی را برای کاهش خطر حملات ناشی از بهرهبرداری از این آسیبپذیری منتشر کرده است[۸].
Tomas Zatkoمدیرعامل شرکت Citadelo دراینباره گفت: “بهطورکلی، زیرساختهای ابری نسبتاً ایمن در نظر گرفته میشوند زیرا لایههای مختلف امنیتی در هستهی آن اجرا میشود، مانند رمزگذاری، جداسازی ترافیک شبکه یا تقسیمبندی مشتری. بااینوجود، آسیبپذیریهای امنیتی را میتوان در هر نوع برنامهای ازجمله Cloud یافت.”
منابع
[۱] https://www.vmware.com/security/advisories/VMSA-2020-0010.html
[۲] https://www.vmware.com/products/cloud-director.html
[۳] https://github.com/aaronsvk/CVE-2020-3956/blob/master/exploit.py
[۴] https://youtu.be/TO40leo9y9w6
[۵] https://citadelo.com/en/blog/full-infrastructure-takeover-of-vmware-cloud-director-CVE-2020-3956
[۶] https://owasp.org/www-community/vulnerabilities/Expression_Language_Injection
[۷] https://docs.oracle.com/javase/8/docs/api/java/io/BufferedReader.html
[۸] https://kb.vmware.com/s/article/79091
[۹] https://thehackernews.com/2020/06/vmware-cloud-director-exploit.html
ثبت ديدگاه