Apache CloudStack: Insecure toegang tot de API/Secret Keys van een gebruiker binnen hetzelfde domein

Een succesvolle exploitatie van deze kwetsbaarheid kan ernstige gevolgen hebben voor de beveiliging van een CloudStack-omgeving. Een kwaadwillende Domain Admin kan de API-sleutels van Admin-rollen in dezelfde domein verkrijgen en deze misbruiken om zich voor te doen als een Admin-gebruiker. Dit stelt de aanvaller in staat om toegang te krijgen tot gevoelige API's en resources, wat kan leiden tot dataverlies, compromittering van de integriteit van resources en denial-of-service aanvallen. De impact is aanzienlijk, aangezien de aanvaller de controle kan overnemen over cruciale aspecten van de CloudStack-infrastructuur.

Organizations utilizing Apache CloudStack in production environments, particularly those with complex domain hierarchies and a large number of administrative accounts, are at risk. Shared hosting environments where multiple customers share a CloudStack instance are also vulnerable, as a compromised Domain Admin account could potentially impact other tenants.

• apache: Examine CloudStack audit logs for unusual API key access patterns or attempts to impersonate Admin users.

journalctl -u cloudstack-management -f | grep "API key" | grep "Admin"

• apache: Monitor CloudStack API endpoints for unauthorized access attempts.

curl -I https://<cloudstack_management_server>/api/cloudstack/ | grep -i "403 forbidden"

• generic web: Review CloudStack access logs for suspicious activity originating from the ROOT domain.

grep "Domain Admin" /var/log/apache2/access.log

1. 2025-06-10Disclosure

   disclosure

1. Gereserveerd2025-05-12
2. Gepubliceerd2025-06-10
3. Gewijzigd2026-02-26
4. EPSS bijgewerkt2026-03-23

De primaire mitigatie voor CVE-2025-47849 is het upgraden van Apache CloudStack naar versie 4.20.1.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de rechten van Domain Admin-gebruikers en het monitoren van API-activiteit op verdachte patronen. Implementeer strikte toegangscontroles en regelmatige audits om ongeautoriseerde toegang te detecteren en te voorkomen. Controleer na de upgrade of de API-sleutels van gebruikers correct zijn en of er geen ongeautoriseerde toegang plaatsvindt.