安全專家警告，正在使用VMware Cloud Director的公有和私有云管理員應(yīng)立即將修補一個高風(fēng)險漏洞，因為黑客可利用該漏洞完全控制虛擬化云基礎(chǔ)架構(gòu)。

 

該漏洞在5月份被爆出，VMware及時發(fā)布了針對漏洞的修復(fù)程序。VMware Cloud Director(以前稱為vCloud Director)是一個云服務(wù)交付平臺，允許云提供商，政府或大型企業(yè)創(chuàng)建，部署和管理虛擬數(shù)據(jù)中心。它提供了一個基于Web的管理界面以及API，客戶可以通過該API管理其虛擬云資源。

漏洞的跟蹤記錄為CVE-2020-3956，VMware在“通用漏洞評分系統(tǒng)(CVSS)”中對問題的評級為嚴(yán)重，并表示它可以導(dǎo)致任意遠(yuǎn)程代碼執(zhí)行?？梢酝ㄟ^Cloud Director的基于HTML5和基于Flex的用戶界面以及其API Explorer界面和API訪問來利用漏洞。

漏洞使黑客能夠訪問系統(tǒng)的數(shù)據(jù)庫，可以在其中替換任何現(xiàn)有客戶或系統(tǒng)中特權(quán)最高的用戶的登錄憑據(jù)，從而可以訪問所有虛擬機和整個云環(huán)境。在更秘密的攻擊中，黑客可以使用漏洞提供的訪問權(quán)限來添加后門管理帳戶。

VMware建議用戶升級到該產(chǎn)品的10.0.0.2、9.7.0.5、9.5.0.6或9.1.0.4版本。目前，版本10.1.0不受影響。VMware還發(fā)布了手動解決方法，這些解決方法可應(yīng)用于無法立即更新到新版本的部署。