Acil: VMware, Yama Uygulanmamış Kritik Bulut Yöneticisi Güvenlik Açığı Konusunda Uyardı

VMware, Cloud Director'da kimlik doğrulama korumalarını aşmak için kötü niyetli bir aktör tarafından yararlanılabilecek kritik ve yamalanmamış bir güvenlik açığı konusunda uyarıda bulunuyor.

CVE-2023-34060 (CVSS puanı: 9.8) olarak izlenen güvenlik açığı, eski bir sürümden 10.5 sürümüne yükseltilen örnekleri etkiler.

Şirket bir uyarıda, "VMware Cloud Director Appliance 10.5'in yükseltilmiş bir sürümünde, cihaza ağ erişimi olan kötü niyetli bir aktör, bağlantı noktası 22 (ssh) veya bağlantı noktası 5480'de (cihaz yönetim konsolu) kimlik doğrulaması yaparken oturum açma kısıtlamalarını atlayabilir" dedi.

"Bu atlama 443 numaralı bağlantı noktasında mevcut değil (VCD sağlayıcısı ve kiracı oturum açma). VMware Cloud Director Appliance 10.5'in yeni kurulumunda baypas mevcut değil."

Sanallaştırma hizmetleri şirketi ayrıca, etkinin, CVE-2023-34060'tan etkilenen temel Photon OS'den bir sssd sürümünü kullanmasından kaynaklandığını belirtti.

BT çözümleri sağlayıcısı Ideal Integrations'tan Dustin Hartle, eksiklikleri keşfetme ve raporlama konusunda kredilendirildi.

VMware henüz sorun için bir düzeltme yayınlamamış olsa da, bir kabuk komut dosyası ("WA_CVE-2023-34060.sh") biçiminde bir geçici çözüm sağlamıştır.

Ayrıca, geçici azaltmanın uygulanmasının kesinti süresi gerektirmeyeceğini veya Cloud Director kurulumlarının işlevselliği üzerinde bir yan etkisi olmayacağını vurguladı.

Geliştirme, VMware'in vCenter Server'da etkilenen sistemlerde uzaktan kod yürütülmesine neden olabilecek başka bir kritik kusur (CVE-2023-34048, CVSS puanı: 9.8) için yamalar yayınlamasından haftalar sonra geldi.