VMware đã vá một lỗ hổng dẫn đến lộ lọt thông tin trong VMware Tanzu Application Service dành cho máy ảo (TAS for VMs) và Isolation Segment do thông tin xác thực được ghi lại và bị lộ thông qua nhật ký kiểm tra hệ thống (system audit logs).
TAS dành cho máy ảo hỗ trợ các doanh nghiệp tự động hóa việc triển khai ứng dụng trên các máy chủ vật lý hoặc máy chủ cloud (ví dụ của vSphere, AWS, Azure, GCP, OpenStack).
Lỗ hổng có định danh CVE-2023-20891, hiện đã được vá, cho phép kẻ tấn công từ xa với đặc quyền thấp có thể truy cập thông tin đăng nhập của quản trị viên API Cloud Foundry trên các hệ thống chưa được vá lỗi.
Điều này xảy ra do trên các phiên bản TAS for VMs chứa lỗ hổng, thông tin xác thực quản trị viên API CF được mã hóa hex được ghi vào nhật ký kiểm tra hệ thống.
Các tác nhân đe dọa khai thác lỗ hổng này có thể sử dụng thông tin đăng nhập bị đánh cắp để triển khai các phiên bản ứng dụng độc hại.
VMware nhấn mạnh rằng người dùng không phải quản trị viên sẽ không có quyền truy cập vào nhật ký kiểm tra hệ thống trong các cấu hình chuẩn (standard deployment configuration).
Tuy nhiên, công ty vẫn khuyến nghị tất cả người dùng TAS cho máy ảo bị ảnh hưởng bởi CVE-2023-20891 thay đổi thông tin xác thực của quản trị viên CF API để đảm bảo kẻ tấn công không thể sử dụng bất kỳ mật khẩu nào bị rò rỉ.
VMware đã cung cấp tài liệu hướng dẫn chi tiết về cách thay đổi thông tin đăng nhập quản trị viên UAA (User Account and Authentication) của Cloud Foundry.
VMware cảnh báo rằng "TAS không chính thức hỗ trợ thay đổi mật khẩu của người dùng quản trị UAA. Các hướng dẫn không được kiểm tra chính thức trong bộ kiểm tra Operations Manager, vì vậy bạn phải tự chịu rủi ro khi sử dụng chúng".
"Bạn có thể muốn thay đổi mật khẩu của người dùng quản trị bằng tiện ích uaac. Tuy nhiên, việc này không hiệu quả vì nó chỉ giúp cập nhật mật khẩu của người dùng quản trị trong UAA. Điều này khiến chương trình quản lý hoạt động (Operations Manager) không đồng bộ và có thể dẫn đến các công việc (các job và errand) không được thực hiện thành công."
Tháng trước, VMware đã giải quyết nhiều lỗ hổng có độ nghiêm trọng mức cao, cho phép thực thi mã và vượt qua xác thực trong Máy chủ vCenter.
Công ty cũng khắc phục một lỗ hổng zero-day ESXi đã bị một nhóm tin tặc do Trung Quốc hậu thuẫn khai thác để cài cắm backdoor trên các máy ảo Windows và Linux trong các cuộc tấn công đánh cắp dữ liệu.
Gần đây, công ty đã cảnh báo khách hàng về việc mã khai thác cho lỗ hổng RCE nghiêm trọng trong công cụ phân tích VMware Aria Operations for Logs hiện đã có sẵn.
Người dùng nên thường xuyên kiểm tra và cập nhật bản vá từ nhà cung cấp cho các phần mềm, ứng dụng đang sử dụng ngay khi chúng có sẵn để giảm thiểu các rủi ro tiềm ẩn.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Atlassian đã phát hành các bản cập nhật để giải quyết ba lỗ hổng bảo mật ảnh hưởng đến các sản phẩm Confluence Server, Data Center và Bamboo Data Center của họ. Nếu khai thác thành công, có thể dẫn đến thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | Apple đã phát hành các bản cập nhật bảo mật mới cho các thiết bị iOS, iPadOS, macOS, tvOS, watchOS và Safari để giải quyết một số lỗ hổng bảo mật, bao gồm một lỗi zero-day đang bị khai thác trong thực tế.
Tín nhiệm mạng |Một lỗ hổng mới hiện đã được vá trong OpenSSH có khả năng bị khai thác để thực thi lệnh tùy ý trên các máy chủ bị xâm nhập trong các điều kiện cụ thể.
Tín nhiệm mạng | GitHub đang cảnh báo về một chiến dịch social engineering mới nhắm mục tiêu vào tài khoản của các nhà phát triển trong lĩnh vực blockchain, tiền điện tử, cờ bạc trực tuyến và bảo mật để lây nhiễm phần mềm độc hại vào thiết bị của họ.
Tín nhiệm mạng | Microsoft và Ukraine CERT đang cảnh báo về các cuộc tấn công mới của Turla, nhóm tin tặc do nhà nước Nga tài trợ, nhắm mục tiêu vào ngành công nghiệp quốc phòng và các máy chủ Microsoft Exchange bằng một backdoor mới, 'DeliveryCheck'.
Tín nhiệm mạng | Citrix đang cảnh báo người dùng về một lỗ hổng bảo mật nghiêm trọng trong Bộ điều khiển phân phối ứng dụng (ADC) NetScaler và Gateway, lưu ý rằng lỗ hổng đang bị khai thác trong thực tế.