Η
VMware
προειδοποίησε τους πελάτες τη Δευτέρα ότι ο κώδικας εκμετάλλευσης proof-of-concept (PoC) είναι πλέον διαθέσιμος για ένα ελάττωμα παράκαμψης ελέγχου ταυτότητας στο vRealize Log Insight (τώρα γνωστό ως VMware Aria Operations for Logs).
“Ενημερώθηκε το VMSA για να σημειώσουμε ότι η VMware έχει επιβεβαιώσει ότι ο κώδικας εκμετάλλευσης για το CVE-2023-34051 έχει δημοσιευτεί,” η εταιρεία
είπε
σε μια ενημέρωση της αρχικής συμβουλευτικής.
Παρακολούθηση
ως
CVE-2023-34051
επιτρέπει σε μη επαληθευμένους εισβολείς να εκτελούν κώδικα εξ αποστάσεως με δικαιώματα root, εάν πληρούνται ορισμένες προϋποθέσεις.
Η επιτυχής εκμετάλλευση εξαρτάται από το ότι ο εισβολέας θα διακυβεύσει έναν κεντρικό υπολογιστή στο στοχευμένο περιβάλλον και θα έχει δικαιώματα για την προσθήκη μιας επιπλέον διεπαφής ή στατικής διεύθυνσης IP, σύμφωνα με ερευνητές ασφαλείας Horizon3 που ανακάλυψαν το σφάλμα.
Δημοσιεύτηκε το Horizon3
μια τεχνική ανάλυση της βασικής αιτίας
για αυτό το ελάττωμα ασφαλείας την Παρασκευή με πρόσθετες πληροφορίες σχετικά με τον τρόπο χρήσης του CVE-2023-34051 για την απόκτηση απομακρυσμένης εκτέλεσης κώδικα ως root σε μη επιδιορθωμένες συσκευές VMware.
Οι ερευνητές ασφαλείας κυκλοφόρησαν επίσης ένα
PoC exploit
και μια λίστα δεικτών συμβιβασμού (IOC) που θα μπορούσαν να χρησιμοποιήσουν οι υπερασπιστές δικτύου για να ανιχνεύσουν απόπειρες εκμετάλλευσης στο περιβάλλον τους.
“Αυτό το POC κάνει κατάχρηση της πλαστογράφησης διευθύνσεων IP και των διαφόρων τελικών σημείων Thrift RPC για να επιτύχει μια αυθαίρετη εγγραφή αρχείου”, δήλωσε η ομάδα επιθέσεων Horizon3.
“Η προεπιλεγμένη ρύθμιση παραμέτρων αυτής της ευπάθειας γράφει μια εργασία cron για να δημιουργήσει ένα αντίστροφο κέλυφος. Φροντίστε να αλλάξετε το αρχείο ωφέλιμου φορτίου ώστε να ταιριάζει στο περιβάλλον σας.
“Για να λειτουργήσει αυτή η επίθεση, ένας εισβολέας πρέπει να έχει την ίδια διεύθυνση IP με έναν κύριο/εργαζόμενο κόμβο.”
Bypass για μια αλυσίδα εκμετάλλευσης RCE
Αυτή η ευπάθεια είναι επίσης μια παράκαμψη για μια αλυσίδα εκμετάλλευσης κρίσιμων ελαττωμάτων που διορθώθηκαν από το VMware τον Ιανουάριο, επιτρέποντας στους εισβολείς να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα.
Το πρώτο (CVE-
2022
-31706) είναι ένα σφάλμα διέλευσης καταλόγου, το δεύτερο (CVE-2022-31704) είναι ένα σφάλμα ελέγχου πρόσβασης, ενώ το τρίτο, ένα σφάλμα
αποκάλυψη
ς πληροφοριών (CVE-2022-31711), επιτρέπει στους εισβολείς να αποκτήστε πρόσβαση σε ευαίσθητες πληροφορίες συνεδρίας και εφαρμογής,
Οι εισβολείς μπορούν να αλυσιδώσουν αυτές τις ευπάθειες (συλλογικά εντοπισμένες ως
VMSA-2023-0001
από VMware) για να εισάγετε αρχεία που έχουν δημιουργηθεί με κακόβουλο τρόπο στο λειτουργικό σύστημα συσκευών VMware που εκτελούν μη επιδιορθωμένο λογισμικό Aria Operations for Logs.
Όταν οι ερευνητές ασφαλείας του Horizon3 κυκλοφόρησαν μια εκμετάλλευση VMSA-2023-0001 PoC μία εβδομάδα αφότου η εταιρεία ώθησε τις ενημερώσεις ασφαλείας, εξήγησαν ότι η εκμετάλλευση RCE “καταχράται τα διάφορα τελικά σημεία Thrift RPC για να επιτύχει μια αυθαίρετη εγγραφή αρχείου”.
“Αυτή η ευπάθεια είναι εύκολη στην εκμετάλλευση, ωστόσο, απαιτεί από τον εισβολέα να έχει κάποια ρύθμιση υποδομής για την εξυπηρέτηση κακόβουλων ωφέλιμων φορτίων”, είπαν.
«Επιπλέον, δεδομένου ότι αυτό το προϊόν είναι απίθανο να εκτεθεί στο διαδίκτυο, ο εισβολέας πιθανότατα έχει ήδη εδραιώσει κάπου αλλού στο δίκτυο.
Ωστόσο, οι φορείς απειλών συχνά εκμεταλλεύονται τρωτά σημεία σε δίκτυα που είχαν τεθεί σε κίνδυνο στο παρελθόν για πλευρική κίνηση, καθιστώντας τις ευάλωτες συσκευές VMware πολύτιμους εσωτερικούς στόχους.
Τον Ιούνιο, η VMware προειδοποίησε τους πελάτες για μια άλλη κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο VMware Aria Operations for Networks (που παρακολουθείται ως CVE-2023-20887) που χρησιμοποιείται σε επιθέσεις.
VIA:
bleepingcomputer.com