Công bố chi tiết cách khai thác lỗ hổng trên VMware vCenter Server

[WhiteHat News #ID:2018]

Hãng an ninh Guardicore vừa công bố chi tiết cách khai thác lỗ hổng nghiêm trọng trong VMware vCenter Server có thể bị khai thác để chiếm quyền kiểm soát trên máy chủ VMware.

Đầu tháng 4, VMware thông báo cho khách hàng về bản vá một lỗ hổng nghiêm trọng (CVE-2020-3952) ảnh hưởng đến phiên bản vCenter Server 6.7 trên Windows và các máy ảo. Đây là lỗ hổng làm lộ thông tin liên quan đến Directory Service (vmdir), từ đó hacker có thể giành quyền truy cập dữ liệu nhạy cảm, làm bàn đạp để xâm nhập vCenter Server hoặc các dịch vụ khác tùy vào quá trình xác thực của vmdir.

Theo VMware, vCenter Server chỉ bị ảnh hưởng nếu người dùng cập nhật bản vá bằng cách nâng cấp từ các phiên bản cũ. Nếu người dùng tải bản 6.7 về và cài đặt trực tiếp thì không bị ảnh hưởng bởi lỗi này.

Với bản vá vCenter Server 6.7 được nâng cấp từ các phiên bản cũ, các nhà nghiên cứu của Guardicore phân tích xem bản vá đã xử lý hết các lỗ hổng còn tồn tại hay chưa. Về cơ bản, họ đã tiến hành các bước như sau:

• Cố gắng xác thực kết nối LDAP với vmdir
• Thêm người dùng mới với tên người dùng và mật khẩu được yêu cầu trong tên miền 'cn=NEW_USERNAME,cn=Users,dc=vsphere,dc=local'..
• Thêm người dùng mới vào nhóm 'cn=Administrators,cn=Builtin,dc=vsphere,dc=local'.

Từ các bước trên có thể thấy kẻ tấn công có thể tạo ra một tài khoản với quyền quản trị trên vCenter Directory, cho phép chúng có toàn quyền kiểm soát máy chủ VMware.

Các nhà nghiên cứu của Guardicore nhận định rằng các nhà phát triển của VMware dường như biết về các lỗi này nhưng lại không có biện pháp khắc phục trong một thời gian dài.

Chi tiết về cách thức khai thác lỗ hổng có thể tham khảo tại đây.

Người dùng được khuyến cáo nên gỡ bỏ tất cả các bản cài từ 6.7 trở về trước và tải về một bộ cài hoàn toàn mới để xử lý lỗ hổng này.

Theo SecurityWeek​