POSITIVE TECHNOLOGIES ПОМОГЛА VMWARE

Компания Positive Technologies помогла Vmware устранить опасную уязвимость в Vmware Realize Business for Cloud, который был разработан для анализа затрат на облачные ресурсы: он позволяет визуализировать и планировать расходы, сравнивать бизнес-показатели.

Вышеупомянутая уязвимость, обнаруженная экспертом Positive Technologies, получила идентификатор CVE-2021-21984 и оценку 9,8 по шкале CVSSv3. Ошибка относится к классу Pre-auth RCE (выполнение произвольных команд от имени неаутентифицированного пользователя). Среди потенциальных угроз — полный контроль над сервером, возможность проводить атаки на инфраструктуру компании.

«Из-за некорректной настройки приложения неаутентифицированный злоумышленник мог получить доступ к встроенной функции обновления приложения, — сказал Егор Димитренко. — Данная функция позволяет выполнять произвольные команды на сервере, эксплуатируя легитимный механизм установки новых версий продукта. В основе этих ошибок, связанных с неправильной настройкой списков доступа, лежит недостаточное тестирование новой функциональности при выпуске релизов продукта».

Ранее Vmware также поблагодарила Егора Димитренко за помощь в устранении уязвимостей в ПО для мониторинга инфраструктуры, в средстве репликации данных Vmware vSphere Replication и в платформе Vmware для защиты конечных устройств.

Для устранения уязвимости необходимо руководствоваться рекомендациями официального уведомления Компании Vmware.

Мы всегда следим за событиями в сфере информационной безопасности. Благодаря данному подходу мы предлагаем Нашим Клиентам только самых эффективные и современные решения от Наших Партнеров.