d00kie Sep 18 2012 at 13:54

Пробиваем VMware vCenter

7 min

43K

Digital Security corporate blogInformation Security*

+49

Comments 12

MaLikoV Sep 18 2012 at 14:22

Спасибо за материал.
После прочтения в голове отложилось что всё ломается и необходимо ограничивать доступ ко всему из вне.

kocto4ka Sep 18 2012 at 14:52

Согласен, без фаерволов сломают все и всех :) Поэтому желательно не только фаервол на стыке с миром, но и фаервол на самом vCenter — чтобы шаловливые пользователи, почитавшие вот такие статьи, не попробовали ради онтереса поломать корпоративную систему :)

Kpblc Sep 18 2012 at 20:04

Правильно ли я понимаю, что данной уязвимости подвержены все vCenter версии?
В статье, к сожалению, не указано.

d00kie Sep 18 2012 at 22:24

* Траверсал — VMSA-2011-0014/CVE-2011-4404 — запатчены с vCenter Update Manager 4.1 prior to Update 2 и vCenter Update Manager 4.0 prior to Update 4

* Пароли в HTML — VMSA-2012-0005.3/CVE-2012-1513 — заптатчен с vCO 4.2 Update 1, vCO 4.1 Update 2, vCO 4.0 Update 4

* Хранение паролей в обратимом виде — ХЗ. Может еще не запатчено. Но VMware молодцы — выпустили KB: kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2021259

P.S. Отдельное спасибо Монти из VMware Security Team — реагировал быстро и хорошо! Сразу видно, что там люди работают и заботятся о безопасности.

foxmuldercp Sep 18 2012 at 22:59

спасибо за статью.
А вообще все эти esxi, vcenter должны быть в другом влане и в другой подсети.
тогда сломать их еще сложнее

menraen Sep 19 2012 at 01:10

Вот-вот! Причем средств для этого предостаточно: и программные «виртуальные свичи», и аппаратная поддержка всякими Нексусами. Но у нас зачастую услышат модное слово «виртуализация», и начинается как в соседнем топике:

например хост-машина, обращающаяся за авторизацией пользователя на виртуалку, которая живёт на ней, которая внезапно умерла
OH, SHI--

foxmuldercp Sep 19 2012 at 01:17

Кстати это мой комментарий, как раз.
Реально печальная ситуация, когда пришлось втроём выезжать на выходные в другой город, и переделывать весь домен с нуля — читай перенастраивать все рабочие станции на новый свежий домен, настраивать трасты, мигрировать профили и прочая печальная радость.
Потому что второй контроллер домена по факту умер вместе с реальной железкой. на которой был.
Админа уволили чуть ли не по статье, но факта халатности и безалаберности это не отменяет — попробуй уследи за всеми, когда у тебя домен по всему миру разбросан

menraen Sep 19 2012 at 02:32

Сурово. Админ, наверное, Матрицу не смотрел. А вообще, если виртуализацию «правильно готовить», то ведь можно добиться ни-много ни-мало а фактического бессмертия виртуализированных приложений и гипервизора, и полной абстракции от «железа»! На презентациях EMC-шники любят показывать как виртуализированный десктоп продолжает показывать видео несмотря на выдёргивание блейдов из стойки. Только вот необходимости правильно проектировать архитектуру (в том числе и защиты) никто не отменяет.

Somewan Sep 19 2012 at 17:02

так и представил этот разговор по телефону:
— Что? Виртуальный КД? Да вы там головой об стену долбанутые что ли????

Так что: Только железо [для КД], только хардкор.

foxmuldercp Sep 19 2012 at 17:09

там есть куча ньюансов и рекомендаций Microsoft'а на эту тему,
В принципе никто не мешает держать два кд в виртуалках на разных физических хостах.

EGarbuzov Sep 19 2012 at 01:59

Спасибо за топик. Отличная возможность посмотреть на знакомый софт совсем под другим углом зрания.

Ramzai85 Nov 21 2012 at 10:29

Интересно было бы прочитать, осуществим ли взлом или повышение привилегий в VCloud. Всё-таки Vcenter логично сажать в приватную сеть, а доступ к Vcloud можно предоставить пользователю и непонятно, способен ли он повысить свои права или получить доступ к ресурсам вне своего VDC