Το Exploit κυκλοφόρησε για κρίσιμη ευπάθεια παράκαμψης ελέγχου ταυτότητας VMware SSH
Ο κώδικας εκμετάλλευσης απόδειξης της ιδέας κυκλοφόρησε για μια κρίσιμη ευπάθεια παράκαμψης ελέγχου ταυτότητας SSH στο εργαλείο ανάλυσης Aria Operations for Networks της VMware (παλαιότερα γνωστό ως vRealize Network Insight).
Το ελάττωμα (παρακολουθείται ως
CVE-2023-34039
) βρέθηκε από αναλυτές ασφαλείας στο ProjectDiscovery
Research
και διορθώθηκε από την VMware την Τετάρτη με την κυκλοφορία της έκδοσης 6.11.
Η επιτυχής εκμετάλλευση επιτρέπει στους απομακρυσμένους εισβολείς να παρακάμπτουν τον έλεγχο ταυτότητας SSH σε μη επιδιορθωμένες συσκευές και να έχουν πρόσβαση στη διεπαφή γραμμής εντολών του εργαλείου σε επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη, λόγω αυτού που η εταιρεία περιγράφει ως “έλλειψη δημιουργίας μοναδικών κρυπτογραφικών κλειδιών”.
Για να μετριαστεί το ελάττωμα, η VMware “συνιστά ανεπιφύλακτα” την
εφαρμογή
ενημερώσεων κώδικα ασφαλείας για τις εκδόσεις Aria Operations for Networks 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10 που είναι διαθέσιμες στις
αυτό το έγγραφο υποστήριξης
.
Σήμερα, η VMware επιβεβαίωσε ότι ο κώδικας εκμετάλλευσης CVE-2023-34039 δημοσιεύτηκε στο διαδίκτυο, δύο ημέρες μετά την αποκάλυψη του κρίσιμου σφάλματος ασφαλείας.
Το proof-of-concept (PoC) exploit στοχεύει όλες τις εκδόσεις Aria Operations for Networks από 6.0 έως 6.10 και αναπτύχθηκε και κυκλοφόρησε από τον ερευνητή ευπάθειας Summoning Team Sina Kheirkhah.
Ο Kheirkhah είπε ότι η βασική αιτία του προβλήματος είναι τα σκληρά κωδικοποιημένα κλειδιά SSH που έχουν απομείνει αφού η VMware ξέχασε να αναδημιουργήσει εξουσιοδοτημένα κλειδιά SSH.
“Κάθε έκδοση του Aria Operations for Networks της VMware έχει ένα μοναδικό κλειδί SSH. Για να δημιουργήσω ένα πλήρως λειτουργικό exploit, έπρεπε να συγκεντρώσω όλα τα κλειδιά από διαφορετικές εκδόσεις αυτού του προϊόντος.”
είπε ο Kheirkhah
.
CVE-2023-34039 PoC exploit (Sina Kheirkhah)
Η VMware επιδιορθώνει επίσης μια ευπάθεια εγγραφής αυθαίρετου αρχείου αυτήν την εβδομάδα (CVE-2023-20890), η οποία επιτρέπει στους εισβολείς να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα αφού αποκτήσουν πρόσβαση διαχειριστή στη στοχευμένη
συσκευή
(το CVE-2023-34039 PoC θα μπορούσε να τους επιτρέψει να λάβουν δικαιώματα root μετά από επιτυχία επιθέσεις).
Τον Ιούλιο, η VMware προειδοποίησε τους πελάτες ότι ο κώδικας εκμετάλλευσης κυκλοφόρησε στο διαδίκτυο για ένα κρίσιμο ελάττωμα RCE (CVE-2023-20864) στο εργαλείο ανάλυσης VMware Aria Operations for Logs, το οποίο επιδιορθώθηκε τον Απρίλιο.
Ένα μήνα νωρίτερα, η εταιρεία εξέδωσε μια άλλη ειδοποίηση σχετικά με την ενεργή εκμετάλλευση ενός άλλου κρίσιμου σφάλματος του Network Insight (CVE-2023-20887) που μπορεί να οδηγήσει σε επιθέσεις εκτέλεσης απομακρυσμένων εντολών.
Η CISA διέταξε τις ομοσπονδιακές
υπηρεσίες
των ΗΠΑ να επιδιορθώσουν τα συστήματά τους έναντι του CVE-2023-20887 έως τις 13 Ιουλίου, αφού το προσέθεσαν στη λίστα με τα γνωστά τρωτά σημεία που υφίστανται εκμετάλλευση.
Υπό το πρίσμα αυτό, συνιστάται στους διαχειριστές να ενημερώσουν τις συσκευές τους Aria Operations for Networks στην πιο πρόσφατη έκδοση το συντομότερο δυνατό ως προληπτικό μέτρο έναντι πιθανών εισερχόμενων επιθέσεων.
Ενώ ο αριθμός των περιπτώσεων VMware vRealize που εκτίθενται στο διαδίκτυο είναι σχετικά χαμηλός, ευθυγραμμίζεται με την προβλεπόμενη χρήση αυτών των συσκευών σε εσωτερικά δίκτυα.
