VMware telah menambal kerentanan pengungkapan informasi di Layanan Aplikasi VMware Tanzu untuk VM (TAS untuk VM) dan Segmen Isolasi yang disebabkan oleh kredensial yang dicatat dan diekspos melalui log audit sistem.
TAS untuk VM membantu perusahaan mengotomatiskan penerapan aplikasi di cloud lokal atau publik dan pribadi (misalnya, vSphere, AWS, Azure, GCP, OpenStack).
Dilacak sebagai CVE-2023-20891, kelemahan keamanan yang ditangani hari ini oleh Vmware akan memungkinkan penyerang jarak jauh dengan hak istimewa rendah untuk mengakses kredensial admin Cloud Foundry API pada sistem yang belum ditambal dalam serangan dengan kompleksitas rendah yang tidak memerlukan interaksi pengguna.
Hal ini terjadi karena, pada TAS yang belum ditambal untuk instans VM, kredensial admin CF API yang dikodekan hex dicatat dalam log audit sistem platform.
Pelaku ancaman yang mengeksploitasi kerentanan ini dapat menggunakan kredensial yang dicuri untuk mendorong versi aplikasi berbahaya.
“Pengguna non-admin jahat yang memiliki akses ke log audit sistem platform dapat mengakses kredensial admin CF API yang disandikan hex dan dapat mendorong versi berbahaya baru dari suatu aplikasi,” kata VMware.
Untungnya, seperti yang disoroti oleh VMware, pengguna non-admin tidak memiliki akses ke log audit sistem dalam konfigurasi penerapan standar.
Rotasi kredensial admin direkomendasikan
Namun, perusahaan masih menyarankan semua pengguna TAS untuk VM yang terpengaruh oleh CVE-2023-20891 untuk merotasi kredensial admin CF API untuk memastikan bahwa penyerang tidak dapat menggunakan kata sandi yang bocor.
VMware memberikan petunjuk mendetail tentang cara mengubah kredensial admin Cloud Foundry User Account and Authentication (UAA). dokumen pendukung ini.
“TAS tidak secara resmi mendukung pengubahan kata sandi pengguna admin UAA. Petunjuk di atas tidak diuji secara resmi sebagai bagian dari paket pengujian Manajer Operasi, jadi gunakan dengan risiko Anda sendiri,” VMware memperingatkan.
“Mungkin tergoda untuk mengubah kata sandi pengguna admin dengan utilitas uaac. Sayangnya, ini tidak cukup karena hanya akan memperbarui kata sandi pengguna admin di UAA. Ini membuat Pengelola Operasi tidak sinkron dan dapat menyebabkan pekerjaan dan tugas gagal.”
Bulan lalu, VMware ditujukan bug Server vCenter keamanan tingkat tinggi memungkinkan eksekusi kode dan bypass otentikasi.
Juga memperbaiki zero-day ESXi dieksploitasi oleh grup peretasan yang disponsori China untuk melakukan backdoor mesin virtual Windows dan Linux dalam serangan pencurian data.
Baru-baru ini, perusahaan memperingatkan pelanggan kode eksploit tersebut kini tersedia untuk kerentanan RCE kritis di alat analisis VMware Aria Operations for Logs.
