Apache CloudStack: Domain Admin kan Admin wachtwoord resetten in Root Domein

Deze kwetsbaarheid stelt een kwaadwillende Domain Admin in staat om de wachtwoorden van Admin gebruikers te resetten. Door dit te doen, kan de aanvaller de identiteit van deze gebruikers aannemen en toegang krijgen tot gevoelige API's en resources. Dit kan resulteren in een compromittering van de integriteit en vertrouwelijkheid van data, dataverlies, denial-of-service aanvallen en een verminderde beschikbaarheid van de infrastructuur. De impact is aanzienlijk, aangezien de aanvaller de controle kan overnemen van cruciale beheerdersaccounts binnen de CloudStack omgeving. Een succesvolle exploitatie kan leiden tot volledige controle over de CloudStack omgeving en de daarin gehoste resources.

Organizations heavily reliant on Apache CloudStack for their cloud infrastructure are at risk. Specifically, deployments with a large number of Domain Admin users or those lacking robust access control policies are particularly vulnerable. Shared hosting environments utilizing CloudStack should also be assessed, as compromised Domain Admin accounts could impact multiple tenants.

• apache: Check CloudStack logs for unusual password reset activity, especially from the ROOT domain. Look for patterns indicating unauthorized access attempts.

journalctl -u cloudstack-management -g 'password reset'

• apache: Audit user accounts and permissions within the ROOT domain to ensure least privilege is enforced.

# Example: Check user roles and permissions (CloudStack CLI or API)
# This requires familiarity with CloudStack's access control system.

• generic web: Monitor CloudStack API endpoints for unauthorized access attempts, particularly those related to user management.

curl -I https://<cloudstack_host>/api/cloudstack/user/resetPassword

1. 2025-06-10Disclosure

   disclosure

1. Gereserveerd2025-05-07
2. Gepubliceerd2025-06-10
3. Gewijzigd2026-02-26
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie voor CVE-2025-47713 is het upgraden van Apache CloudStack naar versie 4.20.1.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van Domain Admin gebruikers en het implementeren van multi-factor authenticatie (MFA) voor alle beheerdersaccounts. Controleer de CloudStack logs op verdachte activiteiten, zoals ongebruikelijke wachtwoord reset pogingen. Implementeer WAF-regels om pogingen tot wachtwoord reset te detecteren en te blokkeren. Na de upgrade, verifieer de fix door te proberen een wachtwoord te resetten van een Admin account vanuit een Domain Admin account; dit zou niet mogelijk moeten zijn.