Advertencia: CloudStack ha parcheado dos vulnerabilidades importantes que pueden provocar la ejecución remota de código. ¡Aplique el parche de inmediato!
CVE-2024-38346: Un puerto de servicio de clúster no autenticado conduce a una ejecución remota
El servicio de clúster de CloudStack se ejecuta en un puerto no autenticado (predeterminado 9090) que se puede usar de forma indebida para ejecutar comandos arbitrarios en hipervisores específicos y hosts de servidores de administración de CloudStack. Se descubrió que algunos de estos comandos tenían vulnerabilidades de inyección de comandos que pueden provocar la ejecución de código arbitrario a través de agentes en los hosts que pueden ejecutarse como un usuario privilegiado. Un atacante que pueda acceder al servicio de clúster en el puerto no autenticado (predeterminado 9090) puede aprovechar esto para realizar una ejecución de código remoto en los hosts administrados de CloudStack y comprometer por completo la confidencialidad, la integridad y la disponibilidad de la infraestructura administrada de CloudStack.
CVE-2024-39864: El servicio de API de integración utiliza un puerto dinámico cuando está deshabilitado
El servicio API de integración de CloudStack permite ejecutar su servidor API no autenticado (generalmente en el puerto 8096 cuando se configura y habilita a través de integración.api.port configuración global) para integraciones internas del portal y para fines de prueba. De manera predeterminada, el puerto de servicio de API de integración está deshabilitado y se considera deshabilitado cuando integración.api.port se establece en 0 o negativo.
Debido a una lógica de inicialización incorrecta, el servicio de API de integración escucharía en un puerto aleatorio cuando su valor de puerto se establece en 0 (valor predeterminado). Un atacante que pueda acceder a la red de administración de CloudStack podría escanear y encontrar el puerto aleatorio del servicio de API de integración y explotarlo para realizar acciones administrativas no autorizadas y ejecutar código remoto en los hosts administrados de CloudStack, lo que provocaría un compromiso total de la confidencialidad, integridad y disponibilidad de la infraestructura administrada de CloudStack.
Versiones afectadas:
- Apache CloudStack 4.0.0 a 4.18.2.0
- Apache CloudStack 4.19.0.0 a 4.19.0.1
Más información en el aviso de CloudStack: https://cloudstack.apache.org/blog/advertencia-de-lanzamiento-de-seguridad-4.19.0.2-4.18.2.1/