等級(jí)為CVSSV3 8.8并分配給CVE-2020-3956，云服務(wù)交付平臺(tái)中的代碼注入漏洞可能使攻擊者能夠訪問(wèn)敏感數(shù)據(jù)并接管企業(yè)內(nèi)私有云的控制。

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶，將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：申請(qǐng)域名、雅安服務(wù)器托管、營(yíng)銷(xiāo)軟件、網(wǎng)站建設(shè)、寶山網(wǎng)站維護(hù)、網(wǎng)站推廣。

黑客還可以利用此漏洞來(lái)控制云中的所有客戶。據(jù)發(fā)現(xiàn)該漏洞的道德黑客公司Citadelo稱，它還授予訪問(wèn)權(quán)限以修改整個(gè)基礎(chǔ)結(jié)構(gòu)的登錄部分，以捕獲另一個(gè)客戶的用戶名和密碼。

Citadelo首席執(zhí)行官Tomas Zatko說(shuō)：“通常，云基礎(chǔ)架構(gòu)被認(rèn)為是相對(duì)安全的，因?yàn)槠浜诵膬?nèi)實(shí)現(xiàn)了不同的安全層，例如加密，網(wǎng)絡(luò)流量隔離或客戶細(xì)分。”

“但是，可以在任何類(lèi)型的應(yīng)用程序中找到安全漏洞，包括他們自己的云提供商。”

Citadelo今年被一家財(cái)富500強(qiáng)企業(yè)客戶聘用，以執(zhí)行安全審核并調(diào)查其基于VMware Cloud Director的云基礎(chǔ)架構(gòu)。

利用代碼注入漏洞，公司的研究人員能夠查看內(nèi)部系統(tǒng)數(shù)據(jù)庫(kù)的內(nèi)容，包括分配給信息系統(tǒng)的所有客戶的密碼哈希。

從那里，他們能夠修改系統(tǒng)數(shù)據(jù)庫(kù)以竊取在Cloud Director中分配給不同組織的外部虛擬機(jī)（VM）。該漏洞還使他們可以將特權(quán)從客戶帳戶升級(jí)到系統(tǒng)管理員，并可以訪問(wèn)所有云帳戶。

最后，他們可以讀取與客戶有關(guān)的所有敏感數(shù)據(jù)，例如全名，電子郵件地址或IP地址。

該漏洞最初于4月1日?qǐng)?bào)告給VMware，并于本月底和5月發(fā)布了補(bǔ)丁程序。尚未應(yīng)用此修復(fù)程序的組織仍然容易受到攻擊。

受影響的人員包括使用VMware vCloud Director的公共云提供商，使用VMware vCloud Director的私有云提供商，使用VMware vCloud Director技術(shù)的企業(yè)以及使用VMware Cloud Director的任何政府身份。

文章題目：利用VMwareCloudDirector漏洞，黑客可以搶占公司服務(wù)器
網(wǎng)站URL：http://weahome.cn/article/cgecod.html