Vulnerabilidad en Apache CloudStack (CVE-2024-45219)

De manera predeterminada, los usuarios de cuentas en Apache CloudStack pueden cargar y registrar plantillas para implementar instancias y volúmenes para adjuntarlos como discos de datos a sus instancias existentes. Debido a que faltan comprobaciones de validación para plantillas o volúmenes compatibles con KVM en CloudStack 4.0.0 a 4.18.2.3 y 4.19.0.0 a 4.19.1.1, un atacante que pueda cargar o registrar plantillas y volúmenes puede usarlos para implementar instancias maliciosas o adjuntar volúmenes cargados a sus instancias existentes en entornos basados en KVM y aprovechar esto para obtener acceso a los sistemas de archivos del host, lo que podría provocar la vulneración de la integridad y confidencialidad de los recursos, la pérdida de datos, la denegación de servicio y la disponibilidad de la infraestructura basada en KVM administrada por CloudStack. Se recomienda a los usuarios que actualicen a Apache CloudStack 4.18.2.4 o 4.19.1.2, o una versión posterior, que soluciona este problema. Además, todas las plantillas y volúmenes compatibles con KVM cargados o registrados por el usuario se pueden escanear y verificar que sean archivos planos que no deberían usar ninguna característica adicional o innecesaria. Por ejemplo, los operadores pueden ejecutar esto en sus almacenamientos secundarios e inspeccionar la salida. Una salida vacía para el disco que se está validando significa que no tiene referencias a los sistemas de archivos del host; por otro lado, si la salida para el disco que se está validando no está vacía, podría indicar un disco comprometido. for file in $(find /path/to/storage/ -type f -regex [a-f0-9\-]*.*); do echo "Recuperando información del archivo [$file]. Si la salida no está vacía, eso podría indicar un disco comprometido; verifíquelo cuidadosamente."; qemu-img info -U $file | grep file: ; printf "\n\n"; done El comando también se puede ejecutar para los almacenamientos primarios basados en archivos; Sin embargo, tenga en cuenta que (i) los volúmenes creados a partir de plantillas tendrán referencias a las plantillas al principio y (ii) los volúmenes se pueden consolidar durante la migración, perdiendo sus referencias a las plantillas. Por lo tanto, la ejecución del comando para los almacenamientos primarios puede mostrar tanto falsos positivos como falsos negativos. Para verificar todas las características de plantilla/volumen de cada disco, los operadores pueden ejecutar el siguiente comando: for file in $(find /path/to/storage/ -type f -regex [a-f0-9\-]*.*); do echo "Recuperando información del archivo [$file]."; qemu-img info -U $file; printf "\n\n"; done