Usługa klastra w Apache CloudStack nasłuchuje domyślnie na nieuwierzytelnionym porcie 9090, co umożliwia zdalne wykonanie kodu (RCE) na zarządzanych hostach i serwerze zarządzającym. Podatność jest krytyczna, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
The CloudStack cluster service runs on unauthenticated port (default 9090) that can be misused to run arbitrary commands on targeted hypervisors and CloudStack management server hosts. Some of these commands were found to have command injection vulnerabilities that can result in arbitrary code execution via agents on the hosts that may run as a privileged user. An attacker that can reach the cluster service on the unauthenticated port (default 9090), can exploit this to perform remote code execution on CloudStack managed hosts and result in complete compromise of the confidentiality, integrity, and availability of CloudStack managed infrastructure. Users are recommended to restrict the network access to the cluster service port (default 9090) on a CloudStack management server host to only its peer CloudStack management server hosts. Users are recommended to upgrade to version 4.18.2.1, 4.19.0.2 or later, which addresses this issue.
Usługa klastra Apache CloudStack eksposes port 9090 bez mechanizmu uwierzytelniania. W obsługiwanych przez tę usługę poleceniach wykryto podatności typu command injection (CWE-94 — nieprawidłowa neutralizacja dyrektyw w dynamicznie generowanym kodzie). Atakujący, który uzyska dostęp sieciowy do tego portu, może wysłać odpowiednio spreparowane żądanie, które zostanie wykonane jako uprzywilejowany użytkownik za pośrednictwem agentów działających na hostach. W efekcie możliwe jest przejęcie pełnej kontroli nad infrastrukturą zarządzaną przez CloudStack.
Atakujący może wykonać dowolny kod na hostach hypervisora oraz serwerze zarządzającym CloudStack z uprawnieniami uprzywilejowanego użytkownika, co prowadzi do całkowitego naruszenia poufności, integralności i dostępności całej infrastruktury zarządzanej przez CloudStack.
Należy natychmiast zaktualizować Apache CloudStack do wersji 4.18.2.1, 4.19.0.2 lub nowszej. Jako doraźny środek zaradczy należy bezwzględnie ograniczyć dostęp sieciowy do portu klastra (domyślnie 9090) wyłącznie do innych serwerów zarządzających CloudStack w klastrze — poprzez reguły firewall lub segmentację sieci.
Apache CloudStack — wersje wcześniejsze niż 4.18.2.1 oraz 4.19.0.2
Producent (Apache CloudStack) zaleca jako tymczasowe obejście ograniczenie dostępu do portu 9090 wyłącznie do zaufanych serwerów zarządzających w klastrze, do czasu wdrożenia patcha.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Cloudstack
APPApache4.0.0 – 4.18.2.1 (bez)4.19.0.0 – 4.19.0.2 (bez)
Powiązane podatności
Apache CloudStack: nieautoryzowany dostęp między tenantami przez rozszerzenie Proxmox
Apache CloudStack — RCE przez niechroniony port integracyjny API
Apache CloudStack: authentication bypass przez manipulację nagłówkiem x-forwarded-for
Apache CloudStack version 4.5.0 and later has a SAML 2.0 authentication Service Provider plugin which is found...
A buffer overflow vulnerability has been found in the baremetal component of Apache CloudStack. This applies t...