Специалист Positive Technologies Егор Димитренко обнаружил уязвимость, которая позволяет злоумышленникам обойти механизм аутентификации и получить доступ к управлению Carbon Black Cloud Workload с максимальными привилегиями.
Уязвимость CVE-2021-21982, получившая оценку 9,1 по шкале CVSS v3, была найдена в Carbon Black Cloud Workload 1.0.1 (и более ранних версиях) — в локальном решении, которое связывает VMware vCenter Server (приложение для централизованного управления средами VMware vSphere) и VMware Carbon Black Cloud.
«Для атаки не требуется авторизация: любой пользователь, имеющий доступ к интерфейсу, может заполучить токен для работы с системой в обход легитимного процесса аутентификации, — объясняет Егор Димитренко. — Интерфейс уязвимого приложения, как правило, доступен во внутренней сети организации, но в некоторых случаях открыт для атаки из интернета. Имея токен аутентификации, злоумышленник получает возможность работать в приложении Carbon Black Cloud Workload с максимальными привилегиями. Так как данное решение является связующим звеном между vCenter Server внутри сети компании и облачным решением для мониторинга безопасности виртуальных машин, то имея максимальные привилегии, злоумышленник может нарушить эту связь и приостановить работу защитных механизмов».
Причиной возникновения уязвимости CVE-2021-21982 исследователь называет недостаточную проверку доступа к некоторым частям приложения, основанную на механизме черного списка, который является не таким эффективным с точки зрения безопасности, как доступ по белому списку.
Для устранения уязвимостей необходимо руководствоваться рекомендациями, которые указаны в официальном уведомлении компании VMware.