وجود خطاهای امنیتی در راه‎حل‌های EMC و VMware

خطاهای امنیتی مؤثر بر VMware و EMC به مهاجمان اجازه دسترسی غیرمجاز به سامانه می‌دهد.

یک آسیب‌پذیری‌ در EMC Data Domain OS گزارش شده‌است که مهاجمان می‌توانند با استفاده از آن سامانه آلوده را به خطر بیندازند.

EMC Data Domain OS سامانه عاملی است که روی واحدهای پشتیبانی دیسک اجرا می‌شود. این آسیب‌پذیری به خرابکاران اجازه می‌دهد که به‌عنوان یکی از کاربران مجاز وارد سامانه شده و به اطلاعات وی دسترسی یابند.

طبق اطلاعیه‌ای که توسط EMC منتشر شده‌است، دامنه اطلاعات از طریق GUI، شناسه جلسه‌ کاربری را وارد یک پرونده می‌کند که در دسترس همه کاربران قرار دارد. مهاجم می‌تواند با استفاده از شناسه جلسه، کنترل حساب قربانی را به‌دست بگیرد.

EMC به‎روزرسانی امنیتی‌ برای نسخه ۵.۵ و ۵.۶ و ۵.۷ EMC Data Domain OS را منتشر کرده‌است. طبق توصیه‌نامه VMSA-۲۰۱۶-۰۰۰۷، به‌روزرسانی‌های محصولات VMware و vCNS آسیب‎پذیری نرم‎افزار VMware را وصله می‌کند.

وجود خطاهای امنیتی در راه‎حل‌های EMC و VMware

همان‌طور که این شرکت در توصیه‎نامه‌اش ذکر کرده‌‌است، مهاجم می‌تواند با استفاده از این آسیب‌پذیری به اطلاعات حساس کاربران دسترسی یابد.

در این توصیه‎نامه آمده: « VMware NSX و vCNS با SSL-VPN حاوی یک آسیب‎پذیری حیاتی در تایید ورودی است. این خطا می‌تواند به مهاجم اجازه دسترسی به اطلاعات حساس را بدهد».

VMware وصله‎های امنیتی را برای NSX Edge نسخه ۶.۱ و ۶.۲ و vCNS Edge نسخه ۵.۵ منتشر کرده‌‌است.

مدیران VMware نیز آسیب‎پذیری بحرانی تزریق اسکریپت میان وب‌گاهی دیگری در VMware vRealize Log Insight پیدا کردند که VMSA-۲۰۱۶-۰۰۰۸ نام گرفت.

مهاجمان از این حفره برای سوءاستفاده از جلسه یک کاربر معتبر استفاده‌می‌کنند. این توصیه‎نامه امنیتی از مدیران می‌خواهد که با استفاده از نسخه‌های ۲.x و ۳.x وصله‎های موجود را به‌کار گیرند.