A VMware több mint két hét után kijavította azt a Cloud Director sérülékenységet, ami már november 14-óta publikus, és amiről ebben a cikkünkben tájékoztatást adtunk.
A Cloud Director a VMware egyik platformja, aminek segítségével a rendszerüzemeltetők több ─ akár különböző fizikai helyszínen telepített ─ adatközpontot kezelhetnek központilag egy Virtuális Adatközpontként (VDC).
A CVE-2023-34060 csak azokat a VCD instance-okat érinti, amelyek egy korábbi verzióról kerültek upgrade-elésre 10.5-ös verzióra, a friss telepítéseket nem. A biztonsági hibát a kiberfenyegetési szereplők olyan alacsony komplexitású támadásokhoz használhatják ki, amelyek nem igényelnek felhasználói interakciót. Ezt úgy érik el, hogy amennyiben hálózati hozzáférésük van a készülékhez, a 22-es (ssh) és 5480-as (appliance management console) portokon teljesen meg tudják kerülni a hitelesítési folyamatot. A 443-as (VCD szolgáltatói és tenant login) port ilyen szempontból nem sérülékeny.
A probléma legmegfelelőbb orvoslása a biztonsági frissítések telepítése, azonban azon rendszerüzemeltetők számára, akik ezt valamilyen okból nem tudják végrehajtani, a cég egy megkerülő megoldást is biztosít. A Javításhoz egy egyedi szkript letöltése és futtatása szükséges, ami a gyártó szerint nem okoz semmilyen funkcionális zavart, így a szolgáltatás kimaradását sem, mivel nem igényel rendszer-újraindítást.
A hibáról, és a javítások részletesebb leírásáról a VMware saját biztonsági közleményt adott ki.
