VMware vá lỗ hổng nghiêm trọng Harbor

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2018, 27/09/19, 05:09 PM.

  1. WhiteHat News #ID:2018

    WhiteHat News #ID:2018 WhiteHat Support

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 215
    Đã được thích: 61
    Điểm thành tích:
    28
    Tuần này, VMware đã phát hành bản vá lỗ hổng nghiêm trọng Harbor, ảnh hưởng tới VMware Cloud Foundation và VMware Harbor Container Registry cho PCF.
    vmware-compressor.jpg

    Harbor là một registry mã nguồn mở dùng để lưu trữ, ký và quét container images để phát hiện các lỗ hổng. Harbor tích hợp với Docker Hub, Docker Registry, Google Container Registry… cho phép người dùng dễ dàng tải xuống, tải lên và quét hình ảnh.

    Lỗ hổng mới được vá, CVE-2019-16097, là một lỗi leo thang đặc quyền từ xa, có thể dẫn đến việc các kẻ tấn công kiểm soát được toàn bộ các triển khai Harbor.

    Tuần trước, Palo Alto tiết lộ rằng họ đã tìm thấy hơn 1300 Harbor registry trên mạng internet với cài đặt mặc định, có nghĩa rằng tất cả đều bị ảnh hưởng bởi lỗ hổng.

    Bằng cách khai thác lỗ hổng, các kẻ tấn công có thể tải các kế hoạch riêng, xóa ảnh trên registry hoặc thay thế bằng những thứ bị nhiễm độc.

    VMware giải thích rằng lỗ hổng an ninh nằm trong POST /api/ user API của Harbor.

    Với điểm CVSSv3 là 9,8 và được xếp ở mức độ quan trọng, lỗ hổng cho phép một tác nhân độc hại với quyền truy cập vào Harbor POST /api/ users có thể tự đăng ký tài khoản quản trị mới.

    Việc khai thác thành công lỗ hổng có thể dẫn đến kiểm soát hoàn toàn các triển khai Harbor.

    VMware đã phát hành bản vá giải quyết lỗ hổng trong VMware Harbor Container Regitry cho PCF (phiên bản 1.8.3 và 1.7.6), nhưng chưa giải quyết được trong VMware Cloud Foundation (chỉ bị ảnh hưởng nếu thành phần “Harbor Registry” tùy chọn được triển khai).

    Người dùng có thể vô hiệu hóa tùy chọn tự đăng ký của Harbor để giải quyết lỗ hổng này.
    Theo securityweek
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan