Cloudcomputing- en virtualisatietechnologiebedrijf VMWare heeft donderdag een update uitgerold om een kritieke beveiligingsfout in zijn Cloud Director-product op te lossen dat zou kunnen worden gebruikt om aanvallen op externe code uit te voeren.
Het probleem, toegewezen aan de identifier CVE-2022-22966heeft een CVSS-score van 9,1 op een maximum van 10. VMware heeft beveiligingsonderzoeker Jari Jääskelä gecrediteerd met het melden van de fout.
“Een geverifieerde, zeer geprivilegieerde kwaadwillende actor met netwerktoegang tot de VMware Cloud Director-tenant of -provider kan mogelijk misbruik maken van een kwetsbaarheid voor het uitvoeren van code op afstand om toegang te krijgen tot de server,” VMware zei in een advies.
Als het toonaangevende platform voor cloudinfrastructuurbeheer wordt VMware Cloud Director (voorheen vCloud Director) door veel bekende cloudproviders gebruikt om hun cloudinfrastructuren te bedienen en te beheren. Een half miljoen VMware-klanten gebruiken de software om ‘s werelds complexe digitale infrastructuur te beheren.
De kwetsbaarheid kan er met andere woorden toe leiden dat aanvallers toegang krijgen tot gevoelige gegevens en private clouds binnen een volledige infrastructuur overnemen.
Betreffende versies zijn 10.1.x, 10.2.x en 10.3.x, met fixes beschikbaar in versies 10.1.4.1, 10.2.2.3 en 10.3.3. Het bedrijf heeft ook gepubliceerd tijdelijke oplossingen die kan worden gevolgd wanneer upgraden naar een aanbevolen versie geen optie is.
De patches komen een dag nadat exploits voor een andere recent opgeloste kritieke fout in VMware Workspace ONE Access in het wild werden gedetecteerd.
De fout (CVE-2022-22954) heeft betrekking op een kwetsbaarheid voor het uitvoeren van externe code die voortkomt uit sjablooninjectie aan de serverzijde in VMware Workspace ONE Access en Identity Manager.
Omdat VMware-producten vaak een lucratief doelwit worden voor bedreigingsactoren, draagt de update bij aan de urgentie voor organisaties om de nodige maatregelen te nemen om potentiële bedreigingen te voorkomen.
