Een kritieke kwetsbaarheid in de VMware Carbon Black Cloud Workload appliance zou een privilege escalation mogelijk kunnen maken en daarnaast de mogelijkheid om de beheerrechten voor de oplossing over te nemen.

Aan deze kwetsbaarheid is CVE-2021-21982 toegewezen met een CVSSv3 score van 9.1/10.

Het VMware Carbon Black Cloud Workload platform levert cybersecurity verdediging voor virtuele servers en workloads die worden gehost op het VMware vSphere platform.

Hoe kan de kwetsbaarheid worden misbruikt?

De kwetsbaarheid in de appliance komt door verkeerde URL-afhandeling, volgens de advisory die VMware heeft uitgebracht.

“Een URL die zich bevindt op de beheerinterface van de VMware Carbon Black Cloud Workload appliance kan gemanipuleerd worden om authenticatie te omzeilen,” geeft VMware aan. “Een kwaadwillende die al netwerktoegang heeft tot de beheerinterface van de appliance heeft de mogelijkheid om een geldige authenticatie token te bemachtigen.”

Dit zou er toe kunnen leiden dat een aanvaller toegang krijgt tot de beheer API van de appliance. Wanneer de kwaadwillende is ingelogd als beheerder, dan kan deze de configuratie instellingen bekijken en aanpassen. Afhankelijk van de tooling die door de organisatie is uitgerold binnen de omgeving, kan een aanvaller verschillende soorten aanvallen uitvoeren. Dit zijn onder andere het uitvoeren van code, het uitschakelen van security monitoring, het bepalen hoeveel virtuele instanties er zijn binnen de private Cloud en daarnaast nog meer opties.

“Een aanvaller op afstand kan misbruik maken van deze kwetsbaarheid om de controle te krijgen over een kwetsbaar systeem,” geeft het Cybersecurity and Infrastructure Agency (CISA) aan in een overeenkomend alert over de kwetsbaarheid.

Welke versies zijn kwetsbaar?

De volgende versies van de VMware Carbon Black Cloud Workload appliance zijn kwetsbaar voor CVE-2021-21982:

  • Versie 1.0.1 en eerder

Updates beschikbaar?

VMware heeft versie 1.0.2 uitgebracht om de kwetsbaarheid te verhelpen.

Mitigatie

Er wordt aangeraden om de toegang tot de lokale beheerinterface van de appliance te beperken tot alleen de personen die deze toegang echt nodig hebben.

Advies

Er wordt aan iedereen geadviseerd die gebruik maakt van de VMware Carbon Black Cloud Workload appliance te updaten naar versie 1.0.2, wanneer dit nog niet gedaan is. Ondanks dat een kwaadwillende eerst netwerktoegang moet hebben tot de beheerinterface van de appliance.

Daarnaast is aan te raden om de toegang tot de lokale beheerinterface te beperken tot alleen de personen die dit echt nodig hebben en de toegang van andere personen in te trekken.

Source

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

5 × vijf =

Menu