Designada con el identificador CVE-2020-3956, la vulnerabilidad de inyección de código surge de un error en la validación de entradas que puede ser abusado por un atacante autenticado para enviar tráfico malicioso a Cloud Director, permitiendo así la ejecución de código arbitrario.

En la escala de severidad de CVSS v3, esta puntuado con un 8.8, lo cual hace que esta vulnerabilidad sea critica. De acuerdo con la empresa, la vulnerabilidad puede ser explotada mediante su interfaz HTML5, su interfaz de explorador de la API, el acceso a la misma y UIs Flex-based.

La vulnerabilidad afecta a las versiones 10.0.X antes de la 10.0.0.2, 9.7.0.X antes de la 9.7.0.5, 9.5.0.X antes de la 9.5.0.6, y 9.1.0.X antes de la 9.1.0.4.

Citadelo pudo hacer lo siguiente después de explotar el fallo:

• Ver el contenido de la base de datos interna, incluyendo los hashes de las contraseñas de los clientes que están en esta infraestructura.
• Modificar la base de datos del sistema para acceder a máquinas virtuales foráneas asignadas a diferentes organizaciones con Cloud Director.
• Escalar privilegios desde "Administrador de la Organización" a "Administrador del Sistema" con acceso a todas las cuentas cloud solamente cambiando la contraseña con una consulta SQL.
• Modificar la pagina de logueo de Cloud Director, para así permitir al atacante capturar las contraseñas de otros clientes en texto plano, incluyendo cuentas del administrador del sistema.
• Leer otros datos sensibles relacionados con los clientes, como nombres completos, correos electrónicos o direcciones IP.

Después de que Citadelo reportara estos fallos a VMware el 1 de abril, la empresa parcheo estas vulnerabilidades con una serie de actualizaciones en las versiones 9.1.0.4, 9.5.0.6, 9.7.0.5 y 10.0.0.2.

VMware también ha facilitado un workaround para mitigar el riesgo de ataques que exploten estas vulnerabilidades.

Fuente: THN