Apache CloudStack 的重要安全公告：CVE-2024-38346 和 CVE-2024-39864

Apache 软件基金会发布了紧急安全公告，披露了两个严重漏洞（CVE-2024-38346和CVE-2024-39864），这些漏洞影响了广泛使用的开源云计算平台 Apache CloudStack。这些漏洞对使用 CloudStack 管理虚拟化基础设施的组织构成了重大风险。

未经身份验证的集群服务端口（CVE-2024-38346）

第一个漏洞CVE-2024-38346 位于 CloudStack 集群服务中，该服务在未经身份验证的端口（默认为 9090）上运行。恶意行为者可以利用此漏洞在目标虚拟机管理程序和 CloudStack 管理服务器主机上执行任意命令。在最坏的情况下，攻击者可以完全控制受感染的 CloudStack 环境，从而导致数据泄露、服务中断和潜在的财务损失。

已禁用集成 API 服务中的动态端口分配 (CVE-2024-39864)

第二个漏洞CVE-2024-39864 影响 CloudStack 集成 API 服务。禁用后，该服务应无法访问；但是，由于初始化逻辑不当，它会监听随机端口。能够访问 CloudStack 管理网络的攻击者可以识别此随机端口并利用它来执行未经授权的管理操作，甚至在 CloudStack 管理的主机上执行远程代码。此漏洞进一步加剧了基础设施全面受损的风险。

受影响的版本和紧急行动呼吁

Apache CloudStack 的 4.0.0 至 4.18.2.0 版本和 4.19.0.0 至 4.19.0.1 版本容易受到这些严重漏洞的影响。Apache 软件基金会强烈建议立即升级到4.18.2.1或4.19.0.2版本，其中包含可缓解已发现漏洞的补丁。

对于无法立即升级的组织，建议采取以下临时措施：

• 限制网络访问：将 CloudStack 管理服务器主机上的集群服务端口（默认 9090）的访问限制为仅限其对等管理服务器。
• 最小化暴露的端口：将 CloudStack 管理服务器主机上的网络访问限制为仅有必要的端口。

原文始发于微信公众号（独眼情报）：Apache CloudStack 的重要安全公告：CVE-2024-38346 和 CVE-2024-39864