Positive Research помог устранить уязвимости в Citrix XenServer

Представленные отчеты содержат описание более десятка уязвимостей различных уровней риска. Одна из уязвимостей является, по мнению экспертов, критической и позволяет в ряде случаев получить доступ к паролю суперпользователя системы и полный контроль над виртуальной инфраструктурой.

Остальные уязвимости были найдены в управляющем веб-интерфейсе двух приложений Citrix XenServer: Web Self Service и vSwitch Controller.

«Технологии виртуализации радикально изменили представление об ИТ-инфраструктуре и предопределили появление облачных вычислений, — рассказал Александр Анисимов, руководитель исследовательского центра Positive Research. — Однако уязвимости в платформе управления виртуальной инфраструктурой — настоящий подарок для хакера. Злоумышленнику достаточно получить доступ к серверу виртуализации, чтобы проникнуть на любую виртуальную машину в инфраструктуре. Повышение защищенности продуктов, обеспечивающих работу виртуальных серверов, является приоритетной задачей для специалистов в сфере информационной безопасности».

«Разработка программного обеспечения без ошибок, к сожалению, невозможна. Компании тратят много усилий на тестирование и проверку своего программного обеспечения. В этом им также помогают независимые разработчики и аналитики, — прокомментировал новость Сергей Халяпин, руководитель системных инженеров российского представительства компании Citrix Systems. —Мне приятно сознавать, что в России, в компании Positive Technologies, есть очень квалифицированные специалисты, которые помогают нам сделать наше программное обеспечение более надежным и безопасным».

Citrix XenServer — это продукт линейки Citrix Delivery Center, предназначенный для виртуализации серверов и организации работы динамических ЦОД, а Web Self Service — портал самообслуживания для пользователей виртуальных машин, которые работают с привилегиями, определенными администратором. Указанные уязвимости содержатся во всех поколениях XenServer (от 5.5 до 6.0), для их устранения необходимо обновить Web Self Service до версии 1.1.1.

Web vSwitch Controller является специализированным управляющим виртуальным сервером (Virtual Appliance). Обнаруженные в нем уязвимости проявляются на XenServer 5.6, 5.6 SP 1/SP 2 и 6.0, для их устранения необходимо обновить vSwitch Controller до версии 6.0.2.