VMware شرکت ارائه دهنده راهکارهای رایانش ابری، روز سه شنبه اطلاعیه ای درباره وصله نرم افزاری که مربوط به سه مشکل در نرم افزار پشتیبان و بازیابی vSphere Data Protection (VDP) بود در سایت خود قرار داد.
گروه U.S. Computer Emergency Readiness در هشداری که بعد از ظهر سه شنبه توسط National Cyber Awareness System ارسال شد نوشت:
“یک هکر می تواند از راه دور از این آسیب پذیری های نرم افزاری استفاده کرده و کنترل سیستم را بدست گیرد” و به همه مشتریان VMware توصیه کرد این وصله ها را که توسط شرکت منتشر شده است دانلود و نصب کنند.
VMware که زیر مجموعه گروه شرکت های Dell Technologies است؛ در مورد این که چند تعداد از مشتریان پانصد هزار نفری آنها از نرم افزار آسیب دیدۀ VDP استفاده می کنند گزارشی ارائه نداد.
همچنین در این انتشار وصله نرم افزاری به چگونگی کشف و تاریخ این نقطه آسیب پذیری اشاره ای نشده است. به گفته سخنگوی شرکت، این مساله توسط CyberScoop و از طریق ایمیل به آنها اطلاع داده شده است. وی به جزئیات بیشتری اشاره نکرد.
image ،VDPهای ماشین های مجازی را که در محیط مجازی شرکت چرخیده اند ذخیره می کند و در نتیجه در صورتی که سیستم Crash شود یا مشکلات دیگری روی دهد به راحتی می توان آنها را بازیابی کرد. این محصول همچنین از دیتای مختص نرم افزار Backup می گیرد: نرم افزارهایی مثل:
Microsoft SharePoint ،Microsoft Exchange و Microsoft SQL Server. برای انجام این کار، VDP با محصولات دیگر VMware و نرم افزاری که به آن سرویس می دهد یکپارچه شده است.
این سه نقص فنی عبارتند از:
- رد کردن فرایند Authentication (این نقص فنی CVE-2017-15548 نامگذاری شده است): یک هکر بدون هیچ گونه Authentication می تواند از راه دور، دسترسی Root را (بالاترین سطح دسترسی) به سیستم بدست آورد.
- آسیب پذیری آپلود فایل دلخواه (نامگذاری: CVE-2017-15549): یک کاربر از راه دور که فرایند Authentication را انجام داده و دسترسی سطح پایینی دارد می تواند فایل های آلوده را در هر جایی بر روی سرور آپلود کند.
- آسیب پذیری Path Traversal (نامگذاری: CVE-2017-15550): کاربر با انجام فرایند Authentication از راه دور و با دسترسی سطح پایین می تواند به فایل دلخواه بر روی سرور دسترسی یابد و نرم افزار آسیب پذیر را اجرا کند.
در این اطلاعیه آمده است که راه حلی برای این مشکل ارائه نشده است.
در آوریل 2017 این شرکت اعلام کرد قصد دارد VDP را از دور خارج کند: “ما بازخوردهایی از مشتریان دریافت کردیم که حاکی از این است که تمایل دارند نرم افزار Backup و بازیابی با نرم افزارهای دیگر ادغام شده باشد. بنابراین ما در حال متمرکز کردن سرمایه گذاری خود بر روی APIهای vSphere Storage هستیم” با استفاده از API می توان محصولات مختلف از شرکت های مختلف را باهم ادغام کرد. این شرکت افزود: “این اقدام باعث تحکیم اکوسیستم شرکای تجاری vSphere می شود و این مساله به مشتری کمک می کند که گزینه های بیشتری برای انتخاب شرکت سازنده داشته باشد”.
VMware مشتریان فعلی VDP را در حال حاضر پشتیبانی خواهد کرد (تا سال 2020 برای کسانی که نرم افزار آپدیت شده را دارند) و وصله ها و Upgradeهای امنیتی را به آنها ارائه می دهد.