Το VMware προειδοποιεί για διαθέσιμη εκμετάλλευση για κρίσιμο σφάλμα vRealize RCE

Η VMware προειδοποίησε τους πελάτες σήμερα ότι ο κώδικας εκμετάλλευσης είναι πλέον διαθέσιμος για μια κρίσιμη ευπάθεια στο εργαλείο ανάλυσης VMware Aria Operations for Logs, το οποίο βοηθά τους διαχειριστές να διαχειρίζονται αρχεία καταγραφής εφαρμογών και υποδομής αξίας terabyte σε περιβάλλοντα μεγάλης κλίμακας.

Το ελάττωμα (

CVE-2023-20864

) είναι μια αδυναμία deserialization που διορθώθηκε τον Απρίλιο και επιτρέπει στους μη επιβεβαιωμένους εισβολείς να αποκτήσουν απομακρυσμένη εκτέλεση σε μη επιδιορθωμένες συσκευές.

Η επιτυχής εκμετάλλευση επιτρέπει στους παράγοντες απειλών να εκτελούν αυθαίρετο κώδικα ως root μετά από επιθέσεις χαμηλής πολυπλοκότητας που δεν απαιτούν αλληλεπίδραση με τον χρήστη.

“Η VMware επιβεβαίωσε ότι ο κώδικας εκμετάλλευσης για το CVE-

2023

-20864 έχει δημοσιευτεί”, η εταιρεία

διάσημος

σε μια ενημέρωση της αρχικής συμβουλευτικής ασφάλειας.

“Το CVE-2023-20864 είναι ένα κρίσιμο ζήτημα και θα πρέπει να επιδιορθωθεί αμέσως σύμφωνα με τις οδηγίες στο συμβουλευτικό.”

Τον Απρίλιο, η VMware εξέδωσε επίσης ενημερώσεις ασφαλείας για την αντιμετώπιση μιας λιγότερο σοβαρής ευπάθειας ένεσης εντολών (CVE-2023-20865) που θα επέτρεπε σε απομακρυσμένους εισβολείς με δικαιώματα διαχειριστή να εκτελούν αυθαίρετες εντολές ως root σε ευάλωτες συσκευές.

Και τα δύο ελαττώματα διορθώθηκαν με την κυκλοφορία του VMware Aria Operations for Logs 8.12. Ευτυχώς, δεν υπάρχουν προς το παρόν στοιχεία που να υποδηλώνουν εκμετάλλευση σε επιθέσεις.

Ελαττώματα VMware Aria Operations υπό επίθεση

Πρόσφατα, η VMware εξέδωσε άλλη μια ειδοποίηση σχετικά με ένα κρίσιμο σφάλμα που έχει πλέον επιδιορθωθεί (

CVE-2023-20887

) στο VMware Aria Operations for Networks (πρώην vRealize Network Insight), επιτρέποντας την απομακρυσμένη εκτέλεση εντολών ως ριζικό χρήστη και την ενεργή εκμετάλλευση σε επιθέσεις.

Η CISA πρόσθεσε επίσης το ελάττωμα στη λίστα με τις γνωστές εκμεταλλευόμενες ευπάθειες και διέταξε τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να εφαρμόσουν ενημερώσεις ασφαλείας έως τις 13 Ιουλίου.

Υπό το πρίσμα αυτό, συνιστάται στους διαχειριστές να εφαρμόζουν εγκαίρως τις ενημερώσεις κώδικα CVE-2023-20864 ως προφύλαξη από πιθανές εισερχόμενες επιθέσεις.

Αν και ο αριθμός των περιπτώσεων VMware vRealize που εκτίθενται στο διαδίκτυο είναι σχετικά χαμηλός, ευθυγραμμίζεται με τον επιδιωκόμενο σχεδιασμό αυτών των συσκευών, οι οποίες επικεντρώνονται κυρίως στην πρόσβαση στο εσωτερικό δίκτυο εντός των οργανισμών.

Ωστόσο, είναι σημαντικό να σημειωθεί ότι οι εισβολείς συχνά εκμεταλλεύονται τα τρωτά σημεία που υπάρχουν σε συσκευές εντός δικτύων που έχουν παραβιαστεί.

Επομένως, ακόμη και οι σωστά διαμορφωμένες συσκευές VMware που παραμένουν ευάλωτες μπορούν να γίνουν δελεαστικοί στόχοι εντός της εσωτερικής υποδομής των στοχευμένων οργανισμών.