
تاریخچه
- 23/02/2023– نسخه 1.0 – انتشار اولیه
خلاصه
2فوریه 2023، شرکت VMware برای چند آسیبپذیری حیاتی تأثیرگذار بر ابزارهای VMware vRealize و Carbon Black App Control یک توصیهنامه منتشر کرد. آسیبپذیری اول با کد CVE-2023-20858 (و رتبه CVSSv3 9.1) شناخته میشود و بر چند نسخه از ابزار کنترل اپلیکیشن Carbon Black در ویندوز و دومین آسیبپذیری با کد CVE-2023-20855 (امتیاز CVSSv3 8.8) شناخته میشود و بر ابزارهای بنیاد ابر VMware و VMware vRealize تأثیر دارد.
جزئیات فنی
- CVE-2023-20858:
مهاجم با دسترسی به کنسول مدیریت App Control میتواند از ورودی که به صورت اختصاصی طراحی شده برای دسترسی به سیستمعامل سرور استفاده کند. با وجود آسیبپذیریهای تزریق کد، مهاجمان میتوانند در اپلیکیشن هدف، کد یا فرمان اجرا کنند و ممکن است این کار باعث نفوذ به سیستمهای بک-اند و همه کلاینتهای متصل به اپلیکیشن آسیبپذیر شود.
- CVE-2023-20855:
مهاجم با دسترسی غیرمدیریتی به vRealize Orchestrator، میتواند با استفاده از یک ورودی طراحی شده به صورت اختصاصی، محدودیتهای تحلیل XML را دور بزند و در نهایت به اطلاعات حساس دسترسی پیدا کرده یا سطح دسترسی خودش را افزایش دهد.
محصولات تحت تأثیر
CVE-2023-20858 بر نسخههای زیر از ابزار کنترل اپلیکیشن VMware Carbon Black در ویندوز تأثیر دارد:
- ابزار VMware Carbon Black App Control برای ویندوز نسخههای 7.x؛
- ابزار VMware Carbon Black App Control برای ویندوز نسخههای 8.x؛
- ابزار VMware Carbon Black App Control برای ویندوز نسخههای 9.x؛
CVE-2023-20855 بر محصولات زیر تأثیر دارد:
- ابزار VMware vRealize Orchestrator که روی لوازم مجازی شبکه با نسخه x اجرا میشود؛
- نسخههای x از اتوماسیون VMware vRealize؛
- نسخه x از ابزار بنیاد ابر VMware.
توصیهها
CERT-EU اعمال بهروزرسانیهای زیر را توصیه میکند:
- بهروزرسانی ابزار کنترل اپلیکیشن VMware Carbon Black به نسخههای اصلاح شده مربوطه:
- 7.8 ;
- 8.6 ;
- 8.9.4.
- بهروزرسانی ابزار vRealize Orchestrator VMware و اتوماسیون به نسخه اصلاح شده 8.11.1؛
- بهروزرسانی بنیاد ابر VMware به نسخه اصلاح شده.
منابع
- https://www.vmware.com/security/advisories/VMSA-2023-0004.html
- https://www.bleepingcomputer.com/news/security/vmware-warns-admins-of-critical-carbonblack-app-control-flaw/
- https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/docs/vmwcbdatasheet-app-control.pdf
- https://www.vmware.com/security/advisories/VMSA-2023-0005.html