您的位置:首页 > 信息互动 >正文

互联网动态:Citadelo发现的一个漏洞该漏洞允许完全收购多个VMware驱动的云

发布时间:2021-07-11 09:44:01  编辑:  来源:

眼下,科技越来越发达,人们逐渐进入了信息时代!今日为大家带来科技圈的消息,其中要说到Citadelo发现的一个漏洞该漏洞同意 完全收购多个VMware驱动的云的消息一起来关注一下吧!

道德黑客公司Citadelo解释了它发现的一个漏洞,该漏洞同意 完全收购多个VMware驱动的云。

值得庆幸的是,漏洞CVE-2020-3956已于5月中旬修复。我们要说谢天谢地,因为它影响了vCloud Director,VMware建议服务提供商使用该工具为其客户运行多个云,或者运行大型用户来治理多个私有云。因此,弹出vCloud Director是进入潜在的数百家组织资源的一种方法,或者是进入大用户的广泛VMware资产的一种方法。

该骇客同意 采取以下行动:

查看内部系统数据库的内容,包括分配给该基础结构的所有客户的密码哈希。

修改系统数据库以窃取分配给Cloud Director中不同组织的外部虚拟机(VM)。

将权限从“组织治理员”(通常是客户帐户)升级为“系统治理员”,并可以访问所有云帐户(组织),因为攻击者可以更改该帐户的哈希。

将登录页面修改为Cloud Director,这使攻击者能够以明文形式捕获另一个客户的密码,包括系统治理员帐户。

阅读与客户有关的其他敏感数据,例如全名,电子邮件地址或IP地址。

那怎么可能呢?Citadelo渗透测试人员TomášMelicher和LukášVáclavík解释说,在渗透测试期间,他们尝试将变量${7*7}用作vCloud Director中SMTP服务器的主机名。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。
版权声明:本站若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。转载文章是出于传递更多信息之目的。
版权所有:阜新生活网 ·(2019-2021) .闽ICP备20009870号-2. 联系QQ:173 0547 905 .