VMware je u ponedjeljak upozorio kupce da je eksploatacijski kod za dokaz koncepta (PoC) sada dostupan za grešku zaobilaženja autentifikacije u vRealize Log Insightu (sada poznatom kao VMware Aria Operations for Logs).
“Ažuriran VMSA kako bi se napomenulo da je VMware potvrdio da je objavljen kod eksploatacije za CVE-2023-34051”, navodi kompanija u ažuriranju originalne objave.
Praćena kao CVE-2023-34051, omogućava neautorizovanim napadačima da daljinski izvršavaju kod sa root dozvolama ako su ispunjeni određeni uslovi.
Uspješna eksploatacija zavisi od toga da napadač kompromituje host unutar ciljanog okruženja i posjedovanja dozvole za dodavanje dodatnog interfejsa ili statičke IP adrese, prema Horizon3 bezbjednosnim istraživačima koji su otkrili grešku.
Horizon3 je u petak objavio tehničku analizu uzroka ovog sigurnosnog propusta s dodatnim informacijama o tome kako se CVE-2023-34051 može koristiti za dobivanje daljinskog izvršavanja koda kao root na nezakrpljenim VMware uređajima.
Istraživači sigurnosti su također objavili PoC eksploataciju i listu indikatora kompromisa (IOC) koje bi zaštitnici mreže mogli koristiti za otkrivanje pokušaja eksploatacije unutar svog okruženja.
“Ovaj POC zloupotrebljava lažiranje IP adresa i razne Thrift RPC krajnje tačke da bi postigao proizvoljno upisivanje u fajl”, rekao je Horizon3 Attack Team.
“Podrazumjevana konfiguracija ove ranjivosti piše cron posao za kreiranje obrnutog shella. Obavezno promijenite payload fajl kako bi odgovarala vašem okruženju.
“Da bi ovaj napad funkcionisao, napadač mora imati istu IP adresu kao glavni/radnički node.”
Premosnica za RCE lanac eksploatacije
Ova ranjivost je takođe premosnica za lanac eksploatacije kritičnih grešaka koje je VMware zakrpio u januaru, omogućavajući napadačima da dobiju daljinsko izvršenje koda.
Prva (CVE-2022-31706) je greška u prelasku direktorija, druga (CVE-2022-31704) je nedostatak kontrole pristupa, dok je treća, greška u otkrivanju informacija (CVE-2022-31711), omogućava napadačima da dobiju pristup osjetljivim informacijama o sesiji i aplikaciji.
Napadači mogu povezati ove ranjivosti (kolektivno praćene kao VMSA-2023-0001 od strane VMware-a) kako bi ubacili zlonamjerno kreirane datoteke u operativni sistem VMware uređaja koji koriste nezakrpljeni softver Aria Operations for Logs.
Kada su Horizon3 sigurnosni istraživači objavili VMSA-2023-0001 PoC eksploataciju nedelju dana nakon što je kompanija pokrenula bezbjednosna ažuriranja, objasnili su da njihov RCE eksploat „zloupotrebljava različite Thrift RPC krajnje tačke da bi postigao proizvoljno upisivanje u fajl“.
“Ovu ranjivost je lako iskoristiti, međutim, ona zahtijeva od napadača da ima infrastrukturno podešavanje za opsluživanje zlonamjernih payloada”, rekli su.
„Pored toga, budući da je malo vjerovatno da će ovaj proizvod biti izložen internetu, napadač je vjerovatno već uspostavio uporište negdje drugdje na mreži.
Međutim, hakeri često iskorištavaju ranjivosti unutar prethodno kompromitovanih mreža za bočno kretanje, čineći ranjive VMware uređaje vrijednim internim ciljevima.
U junu, VMware je upozorio kupce na još jednu kritičnu ranjivost daljinskog izvršavanja koda u VMware Aria Operations for Networks (praćena kao CVE-2023-20887) koja se iskorištava u napadima.
Izvor: BleepingComputer