Podatność w rozszerzeniu Proxmox dla Apache CloudStack umożliwia nieuprzywilejowanemu atakującemu uzyskanie nieautoryzowanego dostępu do maszyn wirtualnych należących do innych tenantów. Ze względu na brak walidacji i możliwość modyfikacji identyfikatora VM przez użytkownika, atakujący może przejąć pełną kontrolę nad cudzymi instancjami.
▸ Pokaż oryginał (EN)
Instances deployed via the Proxmox extension allow unauthorized access to instances belonging to other tenants. This issue affects Apache CloudStack: from 4.21.0.0 through 4.22.0.0. The Proxmox extension for CloudStack improperly uses a user-editable instance setting, proxmox_vmid, to associate CloudStack instances with Proxmox virtual machines. Because this value is not restricted or validated against tenant ownership and Proxmox VM IDs are predictable, a non-privileged attacker can modify the setting to reference a VM belonging to another account. This allows unauthorized cross-tenant access and enables full control over the targeted VM, including starting, stopping, and destroying the virtual machine. Users are recommended to upgrade to version 4.22.0.1, which fixes this issue. As a workaround for the existing installations, editing of the proxmox_vmid instance detail by users can be prevented by adding this detail name to the global configuration parameter - user.vm.denied.details.
Rozszerzenie Proxmox dla CloudStack wykorzystuje edytowalny przez użytkownika parametr instancji o nazwie proxmox_vmid do powiązania instancji CloudStack z maszynami wirtualnymi Proxmox. Parametr ten nie jest weryfikowany pod kątem własności zasobów przez tenanta ani nie jest ograniczony w edycji. Ponieważ identyfikatory VM w Proxmox są przewidywalne, nieuprzywilejowany atakujący może zmodyfikować wartość proxmox_vmid tak, aby wskazywała na maszynę wirtualną należącą do innego konta. W efekcie atakujący uzyskuje pełną kontrolę nad docelową maszyną wirtualną, w tym możliwość jej uruchamiania, zatrzymywania i niszczenia.
Atakujący może uzyskać nieautoryzowany dostęp do instancji innych tenantów oraz przejąć nad nimi pełną kontrolę operacyjną — włącznie z uruchamianiem, zatrzymywaniem i trwałym usunięciem maszyny wirtualnej. Naruszone zostają zarówno poufność, jak i integralność danych i zasobów innych użytkowników.
Zaleca się aktualizację do wersji 4.22.0.1, która eliminuje podatność. Jako obejście dla istniejących instalacji należy dodać nazwę parametru proxmox_vmid do globalnej konfiguracji user.vm.denied.details, co uniemożliwi użytkownikom edycję tego pola.
Apache CloudStack w wersjach od 4.21.0.0 do 4.22.0.0 (włącznie) przy wdrożeniach korzystających z rozszerzenia Proxmox
Producent udostępnił workaround możliwy do zastosowania bez aktualizacji: dodanie proxmox_vmid do parametru globalnego user.vm.denied.details blokuje edycję tego pola przez użytkowników.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NApache Cloudstack
APPApache4.21.0.0 – 4.22.0.1 (bez)
Powiązane podatności
Apache CloudStack — RCE przez nieuwierzytelniony port klastra (9090)
Apache CloudStack — RCE przez niechroniony port integracyjny API
Apache CloudStack: authentication bypass przez manipulację nagłówkiem x-forwarded-for
Apache CloudStack version 4.5.0 and later has a SAML 2.0 authentication Service Provider plugin which is found...
A buffer overflow vulnerability has been found in the baremetal component of Apache CloudStack. This applies t...