Af Eskil Sørensen, 06/04/21
VMware har håndteret en kritisk sårbarhed i VMware Carbon Black Cloud Workload. En sårbarhed, der kan give angribere mulighed for at omgå adgangskontrollen. Det skriver Bleeping Computer i en artikel i sidste uge.
VMware Carbon Black Cloud Workload er sikkerhedssoftware til Linux datacenter, der er designet til at beskytte work loads, der kører i virtualiserede miljøer. Softwaren indeholder beskyttelse af endpoints, herunder 'endpoint-detection and response' (EDR), 'next-gen antivirus' og 'real-time threat hunting'.
Sårbarheden påvirker VMware Carbon Black Cloud Workload version 1.0.1 og tidligere. Sårbarheden har nummer CVE-2021-21982, en CVSS-score på 9,1 og kan udnyttes af angribere eksternt, uden at det kræver godkendelse eller brugerinteraktion. Dette kan ske ved at manipulere en administrativ grænseflade-URL mhp. at få gyldige godkendelsestokens. Med dette kan en trusselsaktør få adgang til administrations-API'en for ikke-patchede VMware Carbon Black Cloud Workload-maskiner. Hermed kan en angriber få vist og ændret administrative konfigurationsindstillinger.
Mulighed for afbødning er også tilgængelig
VMware har også udsendt et forslag til afbødning af hensyn til de administratorer, der ikke straks kan rette deres VMware Carbon Black Cloud Workload-maskiner. Afbødning kræver blot, at man fjerner den lokale admin-grænseflade. VMware anbefaler udover dette i sin advisory, at der implementeres netværkskontrol for at begrænse adgangen til apparatets lokale administrative grænseflade.
Links
https://securityaffairs.co/wordpress/116233/security/vmware-carbon-black-cloud-flaw.html