Τη Δευτέρα, η VMware προειδοποίησε τους πελάτες της ότι διατίθεται πλέον ένα PoC για μια αδυναμία παράκαμψης πιστοποίησης στο vRealize Log Insight (γνωστό τώρα ως VMware Aria Operations for Logs).
Δείτε επίσης: Οι χρήστες VMware ανησυχούν για τις απειλές ransomware
“Η VMware ενημέρωσε το VMSA, αναφέροντας ότι έχει επιβεβαιωθεί η δημοσίευση κώδικα εκμετάλλευσης για το CVE-2023-34051“, ανέφερε η εταιρεία σε μια ενημέρωση της αρχικής συμβουλευτικής ανακοίνωσης.
Το ελάττωμα RCE, γνωστό ως CVE-2023-34051, επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να εκτελούν κώδικα απομακρυσμένα με δικαιώματα root εάν πληρούνται ορισμένες συνθήκες. Η επιτυχημένη εκμετάλλευση εξαρτάται από το αν ο επιτιθέμενος μπορεί να παραβιάσει έναν υπολογιστή εντός του στοχευμένου περιβάλλοντος και αν διαθέτει άδειες για να προσθέσει μια επιπλέον διεπαφή ή στατική διεύθυνση IP, σύμφωνα με τους ερευνητές ασφαλείας του Horizon3 που ανακάλυψαν το σφάλμα.
Η Horizon3 δημοσίευσε την τεχνική ανάλυση των αιτιών αυτής της ευπάθειας την Παρασκευή, παρέχοντας επιπλέον πληροφορίες για το πώς μπορεί να χρησιμοποιηθεί το CVE-2023-34051 για να επιτευχθεί απομακρυσμένη εκτέλεση κώδικα ως root σε μη ενημερωμένες συσκευές VMware.
Οι ερευνητές ασφαλείας δημοσίευσαν επίσης ένα PoC του exploit και μια λίστα με δείκτες παραβιάσεων (IOCs) που οι υπεύθυνοι ασφαλείας δικτύου μπορούν να χρησιμοποιήσουν για την ανίχνευση προσπαθειών εκμετάλλευσης στο περιβάλλον τους.
Αυτή η ευπάθεια αποτελεί επίσης έναν τρόπο παράκαμψης για μια αλυσίδα εκμετάλλευσης κρίσιμων ελαττωμάτων που επιδιορθώθηκαν από την VMware τον Ιανουάριο, επιτρέποντας στους επιτιθέμενους να πραγματοποιήσουν απομακρυσμένη εκτέλεση κώδικα.
Το πρώτο (CVE-2022-31706) είναι ένα σφάλμα directory traversal, το δεύτερο (CVE-2022-31704) είναι ένα σφάλμα broken access control , ενώ το τρίτο, ένα σφάλμα αποκάλυψης πληροφοριών (CVE-2022-31711), που επιτρέπει σε επιτιθέμενους να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες συνεδρίας και εφαρμογών.
Δείτε ακόμα: VMware Aria: Ευάλωτο σε κρίσιμη ευπάθεια SSH authentication bypass
Οι επιτιθέμενοι μπορούν να συνδέουν αυτές τις ευπάθειες (που αποκαλούνται συλλογικά ως VMSA-2023-0001 από την VMware) για να εισχωρήσουν κακόβουλα διαμορφωμένα αρχεία στο λειτουργικό σύστημα των μηχανημάτων της VMware, που εκτελούν μη ενημερωμένο λογισμικό Aria Operations, για την καταγραφή αρχείων.
Όταν οι ερευνητές ασφαλείας της Horizon3 κυκλοφόρησαν ένα PoC για το VMSA-2023-0001 μία εβδομάδα μετά την έκδοση ενημερώσεων ασφαλείας από την εταιρεία, εξήγησαν ότι η εκμετάλλευσή τους για απομακρυσμένη εκτέλεση κώδικα (RCE exploit) “καταχράται τις διάφορες άκρες Thrift RPC για την επίτευξη αυθαίρετης εγγραφής αρχείου.“
“Αυτή η ευπάθεια είναι εύκολο να εκμεταλλευτεί, ωστόσο απαιτεί από τον επιτιθέμενο να έχει κατασκευάσει ορισμένες υποδομές για να υπηρετήσει κακόβουλα φορτία,” δήλωσαν.
Ωστόσο, οι δράστες εκμεταλλεύονται συχνά τις ευπάθειες εντός προηγουμένως παραβιασμένων δικτύων για πλευρική κίνηση, καθιστώντας τις ευάλωτες συσκευές VMware αξιόλογους εσωτερικούς στόχους.
Τον Ιούνιο, η VMware προειδοποίησε τους πελάτες της για μια ακόμα κρίσιμη ευπάθεια εκτέλεσης απομακρυσμένου κώδικα στο VMware Aria Operations for Networks (παρακολουθείται ως CVE-2023-20887) που εκμεταλλεύτηκεται σε επιθέσεις.
Δείτε επίσης: Dell Compellent: Hardcoded κλειδί εκθέτει τα admin credentials του VMware vCenter
Υπάρχουν κι άλλες γνωστές περιπτώσεις εκμετάλλευσης ευπάθειας RCE στο κοινό τομέα της VMware. Ένα παράδειγμα είναι η περίπτωση του CVE-2021-21985, όπου ανακαλύφθηκε μια ευπάθεια στο λογισμικό VMware vCenter Server. Αυτή η ευπάθεια επιτρέπει σe επιτιθέμενους να εκτελέσουν κακόβουλο κώδικα απομακρυσμένα και να αποκτήσουν πλήρη έλεγχο του συστήματος. Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν αυτήν την ευπάθεια για να προκαλέσουν σοβαρές ζημιές στους διακομιστές VMware και να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα.
Ένα άλλο παράδειγμα είναι η ευπάθεια CVE-2020-4006, που επηρεάζει το λογισμικό VMware Workspace One Access. Αυτή η ευπάθεια επιτρέπει σε επιτιθέμενους να εκτελέσουν κακόβουλο κώδικα και να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, όπως διαπιστευτήρια χρηστών και κωδικούς πρόσβασης.
Αυτά τα παραδείγματα δείχνουν ότι οι ευπάθειες RCE στο λογισμικό VMware έχουν εκμεταλλευθεί στο παρελθόν και μπορούν να προκαλέσουν σοβαρές απειλές για την ασφάλεια των συστημάτων. Είναι σημαντικό για τους διαχειριστές να ενημερώνονται για τις τελευταίες ευπάθειες και να εφαρμόζουν τις απαραίτητες ενημερώσεις και μέτρα ασφαλείας για να προστατεύσουν τα συστήματά τους.
Πηγή: bleepingcomputer
