vRealize Operations Manager API

Die Schwachstelle steckt in der API des vRealize Operations Manager von VMware – der Programmierschnittstelle der Verwaltungs- und Überwachungslösung für virtualisierte Umgebungen. Es handelt sich um eine Server-Side Request Forgery (SSRF): Ein Angreifer bringt den Server dazu, in seinem Namen Netzwerkanfragen an Ziele zu senden, die der Angreifer selbst eigentlich nicht erreichen dürfte. Ausnutzen lässt sich der Fehler von jedem, der Netzwerkzugriff auf die API hat. Über diesen manipulierten Anfrageweg kann der Angreifer administrative Zugangsdaten abgreifen. Gelangt er an diese Anmeldedaten, verschafft er sich administrativen Zugriff auf die Lösung und damit weitreichende Kontrolle über die Überwachung und Verwaltung der angebundenen virtuellen Infrastruktur. Betroffen sind Installationen, deren API für potenzielle Angreifer über das Netz erreichbar ist.