安全专家警告说,使用VMwareCloudDirector的公有云和私有云的管理员应立即修补一个高危漏洞,该漏洞可能允许黑客完全控制虚拟化云基础设施。该漏洞于5月份被曝光,VMware及时发布了漏洞修复。VMwareCloudDirector(以前称为vCloudDirector)是一个云服务交付平台,允许云提供商、政府或大型企业创建、部署和管理虚拟数据中心。它提供了一个基于Web的管理界面以及一个API,客户可以通过该界面管理他们的虚拟云资源。该漏洞被追踪为CVE-2020-3956,VMware在通用漏洞评分系统(CVSS)中将该问题评为严重,并表示它可能导致任意远程代码执行。可以通过CloudDirector基于HTML5和基于Flex的用户界面及其APIExplorer界面和API访问来利用该漏洞。该漏洞使黑客能够访问系统的数据库,他们可以在其中替换任何现有客户或系统上最高特权用户的登录凭据,从而使他们能够访问所有虚拟机和整个云环境。在更隐秘的攻击中,黑客可以使用漏洞提供的访问权限为管理帐户添加后门。VMware建议用户升级到产品的10.0.0.2、9.7.0.5、9.5.0.6或9.1.0.4版本。目前,10.1.0版本不受影响。VMware还发布了可应用于无法立即更新到新版本的部署的手动解决方法。
