Kwetsbaarheid in VMware Cloud Director: datacenter-takeovers mogelijk

Er is een nieuwe kwetsbaarheid ontdekt in VMware Cloud Director. De kwetsbaarheid maakt het voor hackers die een account hebben aangetast mogelijk om zich te verspreiden naar alle andere accounts binnen een datacenter. De kwetsbaarheid is opgelost met een upgrade, maar systemen die nog niet gepatcht zijn lopen gevaar dat databases of virtuele  machines worden verwijderd of dat een aanvaller zelfs beheerrechten krijgt.

VMware Cloud Director, eerder bekend onder de naam vCloud Director, is een platform dat clouddiensten levert. Het wordt veel gebruikt om virtuele datacenters op te zetten en te beheren. Verder wordt VMware Cloud Director gebruikt voor het beheren van virtuele cloudmiddelen. 

“VMware is op de hoogte van de kwetsbaarheid”, zegt Stefanie Cannon, een woordvoerder van VMware. Volgens Stefanie heeft VMware eind mei een beveiligingsadvies aan zijn klanten verstrekt. VMware geeft geen verdere details vrij. “Dit is onze openbare verklaring over de kwestie.

Goed en slecht nieuws

Er is goed en slecht nieuws over de VMware kwetsbaarheid. Het goede nieuws is dat VMware een upgrade voor zijn software heeft uitgebracht die het probleem oplost. Ook biedt VMware omwegen voor gevallen waarin de Cloud Director software niet geüpgraded kan worden. Nog meer goed nieuws is dat slechts een paar duizend publieksgerichte servers kwetsbaar zijn. Dat maakt Tomas Zatko bekend, CEO van Citadelo, het bedrijf dat de kwetsbaarheid ontdekte. 

Het slechte nieuws is dat een server waarop VMware Cloud Director draait niet verbonden hoeft te zijn aan het internet om aangevallen te worden door hackers. Daarbij is de kans groot dat er bedrijven zijn die niet snel genoeg reageren om het probleem op te lossen voordat hackers ze vinden.

Hoe werkt een aanval

Bij een aanval gebruikt de hacker de inloggegevens van een aangetast account om toegang te krijgen tot de VMware Cloud Director management console. Vervolgens gebruikt hij code injection om toegang te krijgen tot de onderliggende infrastructuur. Zodra een hacker toegang heeft, kan hij van alles doen. Een aanvaller kan databases of virtuele machines verwijderen, maar ook data aanpassen of kopiëren. 

Aanvallers kunnen ook wachtwoorden zien van andere gebruikers in het systeem, zichzelf systeembeheerder-privileges geven en de inlogpagina voor de Cloud Director veranderen om nog meer logingegevens te achterhalen. Daarnaast kunnen ze klantinformatie verzamelen, zoals namen en e-mailadressen. 

Om zich te beschermen tegen aanvallers, raadt Zatko gebruikers van VMware Cloud Director aan om hun software te updaten of de omweg te installeren. Daarnaast stelt hij voor  dat datacenters die gratis proefaccounts aanbieden extra voorzichtig zijn door de identiteit van hun gebruikers te bevestigen.