等级为CVSSV3 8.8并分配给CVE-2020-3956,云服务交付平台中的代码注入漏洞可能使攻击者能够访问敏感数据并接管企业内私有云的控制。
黑客还可以利用此漏洞来控制云中的所有客户。据发现该漏洞的道德黑客公司Citadelo称,它还授予访问权限以修改整个基础结构的登录部分,以捕获另一个客户的用户名和密码。
Citadelo首席执行官Tomas Zatko说:“通常,云基础架构被认为是相对安全的,因为其核心内实现了不同的安全层,例如加密,网络流量隔离或客户细分。”
“但是,可以在任何类型的应用程序中找到安全漏洞,包括他们自己的云提供商。”
Citadelo今年被一家财富500强企业客户聘用,以执行安全审核并调查其基于VMware Cloud Director的云基础架构。
利用代码注入漏洞,公司的研究人员能够查看内部系统数据库的内容,包括分配给信息系统的所有客户的密码哈希。
从那里,他们能够修改系统数据库以窃取在Cloud Director中分配给不同组织的外部虚拟机(VM)。该漏洞还使他们可以将特权从客户帐户升级到系统管理员,并可以访问所有云帐户。
最后,他们可以读取与客户有关的所有敏感数据,例如全名,电子邮件地址或IP地址。
该漏洞最初于4月1日报告给VMware,并于本月底和5月发布了补丁程序。尚未应用此修复程序的组织仍然容易受到攻击。
受影响的人员包括使用VMware vCloud Director的公共云提供商,使用VMware vCloud Director的私有云提供商,使用VMware vCloud Director技术的企业以及使用VMware Cloud Director的任何政府身份。
***本网站图片,文字之类版权申明,因为网站可以由注册用户自行上传图片或文字,本网站无法鉴别所上传图片或文字的知识版权,如果侵犯,请及时通知我们,本网站将在第一时间及时删除。
我要评论
网友评论
最新文章
热门阅读
随机文章
热评文章
热门标签
服务器怎么用?租用服务器之后怎么操作?_服务器之家四招教你选择企业服务器类型2019年第17批CDN牌照下发 揭秘494家企业“扎堆”背后的商机香港服务器延迟高?这些事情你做好了吗?_服务器资讯_服务器之家 ...腾讯云新品“腾讯连连”正式发布云主机和VPS应该怎么挑选?中兴、深度等合推的UOS统一操作系统界面曝光:支持华为海思 ...10大CDN服务器及管理软件推荐服务器之家浅谈VPS服务器租用有哪些好处?广告重返微软Windows 10桌面版邮箱和日历应用程序托管双线服务器最重要的是什么?_服务器资讯_服务器之家百度昆仑云服务器发布 兼容百度飞桨,运算能力提升近30倍租用美国服务器需要注意哪些问题?微软Windows 10 2004将迎来全新Linux子系统Linux Mint 20 曝光:代号 “Ulyana”,仅支持 64 位系统存储云服务器值得选择吗?外企使用美国服务器的五大优势IDC:2019 年中国 AI 云服务市场百度份额位居第一_服务器资讯_服务器之家 ...在Windows 10中隐藏任务栏的简单方法在Ubuntu优麒麟19.10上安装腾讯视频Linux中国自建域名根服务器 到底什么是根服务器?同比涨557%行业最高 京东云跻身公有云市场TOP10高防服务器机房要从这几个方面挑选漫画行业租用香港服务器,靠谱吗?秘鲁方面确认:华为早在5月底已提请注册鸿蒙操作系统商标迅雷财报披露云计算进展:与优酷达成深度合作elementary OS 5.1“Hera”发布:号称最美Linux发行版香港服务器怎样?香港服务器做SEO好不好?_服务器资讯_服务器之家 ...Ubuntu 优麒麟官方体验百度输入法 Linux 版本_操作系统_服务器之家 ...金山云确定发行价区间,金山和小米购7500万美元ADS_服务器资讯_服务器之家 ...