شرکت VMware با عرضه یک نسخه جدید Hotfix برای vSphere Data Protection یا به اختصار VDP، کلیدِ SSH که به صورت Hard-Coded وجود داشت را تغییر داد، تا هکرهای نتوانند از طریق Remote به Root ماشینهای مجازی دسترسی پیدا کنند.
VDP، یک محصول مبتنی بر دیسک (Disk-Based)، برای پشتیبانگیری و بازیابی میباشد که به صورت یک Open Virtual Appliance یا به اختصار OVA عمل میکند. این محصول با سرور vCenter VMware ادغام شده و و امکان مدیریت متمرکز پشتیبانگیری تا 100 ماشین مجازی را فراهم مینماید.
vSphere Data Protection حاوی یک کلید اختصاصی ثابتِ SSH با یک رمز عبور شناخته شده میباشد. این کلید، امکان فعالیت با EMC Avamar را به عنوان یک راهکار نرمافزاری جهت ارائه پشتیبانگیری و بازیابی به شیوهی حذف نسخههای تکراری (Deduplication) میسر میسازد که به صورت پیشفرض بر روی VDP به عنوان یک کلید مجاز (AuthorizedKey) میباشد.
VMware در ادامه افزود: Attacker ممکن است از امکان دسترسی به شبکهی داخلی سوء استفاده نموده و با دسترسی Root، به ساختار نفوذ کرده و تهدیداتی را ایجاد نماید.
شرکت مذکور، این آسیبپذیری را مهم و بحرانی ارزیابی نموده و یک Hotfix جهت کپی کردن بر روی دستگاه و اجرا آن ارائه نموده است که امکان تغییر کلیدهای پیشفرض SSH و تعیین رمزعبور جدید را فراهم میآورد.
ارائهی تجهیزات با ایجاد دسترسی به صورت Hard-Coded که توسط کاربران قابل تغییر نمیباشد، ضعفی جدی در مقولهی امنیت تلقی میشود. متأسفانه این شیوه در گذشته رواج داشته و ارائهدهندگان آن طی چند سال گذشته برای از میان برداشتن اشکالاتی از این دست در تجهیزات خود تلاش نمودهاند.
همچنین شرکت VMware به تازگی اقدام به رفع نوعی آسیبپذیری موسوم به Cross-Site Scripting در (vSphere Hypervisor (ESXi نموده است. لازم به ذکر است که این نقص نیز مهم شناسایی شده است.
این شرکت عنوان کرد: مشکل زمانی بروز مییابد که Attacker اجازهی مدیریت ماشینهای مجازی از طریق Host Client ESXi را داشته باشد و یا اینکه مدیر vSphere تحت تاثیر ترفندی خاص به وارد کردن یک ماشین مجازی با ساختاری ویژه بپردازد. این مشکل در سیستم احتمالا از نقطهای شروع میشود که ESXi Host Client برای مدیریت یک ماشین مجازی خاص به کار برده شود.
شرکت VMware برای رفع این نقص، اصلاحات امنیتی جدیدی برای 6.0 و ESXi 5.5 عرضه نموده و به کاربران توصیه میکند از وارد کردن VMهایی از منابع ناشناس پرهیز نمایند.