آسیب‌پذیری‌های حیاتی در محصولات VMware

گزارش آسیب‌پذیری

تاریخچه

23/02/2023– نسخه 1.0 – انتشار اولیه

خلاصه

2فوریه 2023، شرکت VMware برای چند آسیب‌پذیری حیاتی تأثیرگذار بر ابزارهای VMware vRealize و Carbon Black App Control یک توصیه‌نامه منتشر کرد. آسیب‌پذیری اول با کد CVE-2023-20858 (و رتبه CVSSv3 9.1) شناخته می‌شود و بر چند نسخه از ابزار کنترل اپلیکیشن Carbon Black در ویندوز و دومین آسیب‌پذیری با کد CVE-2023-20855 (امتیاز CVSSv3 8.8) شناخته می‌شود و بر ابزارهای بنیاد ابر VMware و VMware vRealize تأثیر دارد.

جزئیات فنی

CVE-2023-20858:

مهاجم با دسترسی به کنسول مدیریت App Control می‌تواند از ورودی که به صورت اختصاصی طراحی شده برای دسترسی به سیستم‌عامل سرور استفاده کند. با وجود آسیب‌پذیری‌های تزریق کد، مهاجمان می‌توانند در اپلیکیشن هدف، کد یا فرمان اجرا کنند و ممکن است این کار باعث نفوذ به سیستم‌های بک-اند و همه کلاینت‌های متصل به اپلیکیشن آسیب‌پذیر شود.

CVE-2023-20855:

مهاجم با دسترسی غیرمدیریتی به vRealize Orchestrator، می‌تواند با استفاده از یک ورودی طراحی شده به صورت اختصاصی، محدودیت‌های تحلیل XML را دور بزند و در نهایت به اطلاعات حساس دسترسی پیدا کرده یا سطح دسترسی خودش را افزایش دهد.

محصولات تحت تأثیر

CVE-2023-20858 بر نسخه‌های زیر از ابزار کنترل اپلیکیشن VMware Carbon Black در ویندوز تأثیر دارد:

ابزار VMware Carbon Black App Control برای ویندوز نسخه‌های 7.x؛
ابزار VMware Carbon Black App Control برای ویندوز نسخه‌های 8.x؛
ابزار VMware Carbon Black App Control برای ویندوز نسخه‌های 9.x؛

CVE-2023-20855 بر محصولات زیر تأثیر دارد:

ابزار VMware vRealize Orchestrator که روی لوازم مجازی شبکه با نسخه x اجرا می‌شود؛
نسخه‌های x از اتوماسیون VMware vRealize؛
نسخه x از ابزار بنیاد ابر VMware.

توصیه‌ها

CERT-EU اعمال به‌روزرسانی‌های زیر را توصیه می‌کند:

به‌روزرسانی ابزار کنترل اپلیکیشن VMware Carbon Black به نسخه‌های اصلاح شده مربوطه:

7.8 ;
8.6 ;
8.9.4.

به‌روزرسانی ابزار vRealize Orchestrator VMware و اتوماسیون به نسخه اصلاح شده 8.11.1؛
به‌روزرسانی بنیاد ابر VMware به نسخه اصلاح شده.

تاریخچه

خلاصه

جزئیات فنی

محصولات تحت تأثیر

توصیه‌ها

منابع