vCloud Director: Patchen tut not!

2. Juni 2020, 13:28
  • security
  • cloud
  • vmware
  • lücke
  • channel
image

Ethische Hacker haben preisgegeben, wie eine kürzlich gepatchte Schwachstelle ausgenützt werden kann, um ganze Cloud-Infrastrukturen zu übernehmen.

Zwei Angestellte des slowakischen Security-Unternehmens Citadelo, das ethische Hacks durchführt, habe im Rahmen eines Penetration-Tests einen schwerwiegenden Security-Bug in VMwares vCloud Director entdeckt. Die Schwachstelle  CVE-2020-3956 betrifft die Versionen 10.0.x und 9.1.x sofern sie nicht auf dem neuesten Stand sind.
VMware wurde von Citadelo informiert und hat Mitte Mai Patches veröffentlicht. Diese Patches schnell einzuspielen, ist für Managed Service Provider und andere Unternehmen, die vCloud Director einsetzen, um multiple Clouds zu managen, gerade dringlicher geworden. Citadelo hat nun bekannt gegeben, wie der Hack funktioniert. Diesen Hinweisen zu folgen und eigene Exploits zu entwickeln, scheint nun auch für weniger ethische Hacker einfach.
Die Schwachstelle erlaubt es Angreifern, über einen eigenen Account die volle Kontrolle über eine komplette via vCloud Director verwaltete Cloud-Infrastruktur zu erlangen. Dies funktioniert auch wenn die Angreifer nur einen Test-Account haben. Volle Kontrolle bedeutet im Falle eines MSPs: Kontrolle über die Clouds aller anderen Kunden und Einsicht in Inhalte.

Verräterisches 7 mal 7 = 49

Die Citadelo-Hacker entdeckten die Schwachstelle, als sie probeweise den vom Kunden angegebenen Hostnamen des SMTP-Servers manipulierten. Sie gaben die Formel ${7*7} ein und entdeckten, dass die darauf folgende Fehlermeldung die Zahl 49 enthielt. Dies bedeutete, dass der Ausdruck vom System interpretiert wurde. Daraufhin versuchten sie es mit einem Java-Code, der ebenfalls interpretiert wurde. Zuletzt entwickelten sie ein Script, dass den Server dazu veranlasste, das Administrator-Passwort zu ändern. Dies erlaubte es ihnen, sich selbst mit Admin-Rechten einzuloggen.
In diesem kurzen Videoclip wird das Vorgehen etwas genauer erklärt:

Loading

Mehr zum Thema

image

Vertragsauflösung in UK: Bei Atos könnten viele Stellen wegfallen

Ein auf potenziell 18 Jahre angelegter Vertrag zwischen der britischen Pensionskasse und dem IT-Dienstleister wurde nach 2 Jahren aufgelöst. Medien gehen von 1000 Stellen aus, die gefährdet sind.

publiziert am 3.2.2023
image

Das Wachstum der Hyperscaler verlangsamt sich

Bei AWS, Azure und Google Cloud ist es jahrelang nur steil bergauf gegangen. Jetzt aber macht sich der Spardruck der Kunden bemerkbar.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023