Horizon3'ün saldırı ekibiyle güvenlik araştırmacıları, önümüzdeki hafta bir güvenlik açığı zincirini hedefleyen bir istismar yayınlayacak ve eşleştirilmemiş vmware vrealize günlük içgörü cihazlarında uzaktan kod yürütme kazanmak için.
Artık günlükler için VMware ARIA işlemleri olarak bilinen Vrealize Log Insight, VMware yöneticilerinin altyapı ve uygulama günlüklerinin terabaytlarını analiz etmesini ve yönetmesini kolaylaştırır.
Salı günü VMware, bu günlük analiz aracında ikisi kritik olan ve saldırganların kimlik doğrulaması olmadan kodları uzaktan yürütmesine izin veren dört güvenlik açığı yamaladı.
Her ikisi de 9.8/10 CVSS taban skorları ile kritik bir ciddiyet olarak etiketlenir ve kimlik doğrulaması gerektirmeyen düşük karmaşık saldırılarda tehdit aktörleri tarafından kullanılabilir.
Bunlardan biri (CVE-2022-31706), etkilenen cihazların işletim sistemine dosya enjekte etmek için istismar edilebilen bir dizin geçiş güvenlik açığıdır ve ikincisi (CVE-2022-31704 olarak izlenen), bozuk bir erişim kontrolü kusurudur Ayrıca RCE saldırılarına kötü niyetli olarak hazırlanmış dosyalar enjekte edilerek kullanılabilir.
VMware ayrıca, hizmet durumlarının reddini ve hassas oturum ve uygulama bilgilerine erişmek için bir bilgi açıklama hatasını (CVE-2022-31711) tetikleyen bir seans oluşturma güvenlik açığı (CVE-2022-31710) ele aldı.
Perşembe günü, Horizon3'ün saldırı ekibi VMware Adims'i, bu hafta VMware tarafından yamalanan dört kusurdan üçünü, kodu kök olarak yürütmek için zincirleyen bir istismar oluşturabildikleri konusunda uyardı.
Tüm güvenlik açıkları, VMware Vrealize Log Insight cihazlarının varsayılan yapılandırmasında yararlanabilir. İstismar, kuruluşların ağlarına (internete maruz kalan cihazlar aracılığıyla) ilk erişim elde etmek ve depolanan kimlik bilgileriyle yanal hareket için kullanılabilir.
Bir gün sonra, güvenlik araştırmacıları, savunucuların ağlarındaki sömürü belirtilerini tespit etmek için kullanabilecekleri uzlaşma göstergelerinin (IOCS) bir listesi de dahil olmak üzere ek bilgi içeren bir blog yazısı yayınladılar.
Saldırganlar, ek sistemleri ihlal etmeye ve çevreyi daha da tehlikeye atmaya yardımcı olacak API anahtarları ve oturum jetonları da dahil olmak üzere günlük içgörü ana bilgisayarlarındaki günlüklerden hassas bilgiler alabilirler.
Araştırmacılar, "Bu güvenlik açığından yararlanmak kolaydır, ancak saldırganın kötü niyetli yükler sunmak için bazı altyapı kurulumuna sahip olmasını gerektirir." Dedi.
"Ayrıca, bu ürünün internete maruz kalması olası olmadığından, saldırgan muhtemelen ağda başka bir yer kurmuş olmuştur.
"Bu güvenlik açığı, uzaktan kod yürütülmesine kök olarak izin verir ve esasen bir saldırgana sistem üzerinde tam kontrol sağlar."
Shodan verilerine göre, Horizon3 güvenlik açığı araştırmacısı James Horseman'ın daha da açıkladığı gibi, internette kamuya açık olan sadece 45 örnek var.
VMware VRealize Log Insight Cihazları bir kuruluşun ağına erişilecek şekilde tasarlandığından bu beklenmelidir.
Bununla birlikte, tehdit aktörlerinin zaten ihlal edilen ağlardaki güvenlik açıklarını diğer cihazlara yanal olarak yaymak ve bu değerli iç hedefleri yapmak nadir değildir.
Mayıs 2022'de Horizon3, birden fazla VMware ürününü etkileyen ve tehdit aktörlerinin yönetici ayrıcalıkları kazanmasına izin veren kritik bir kimlik doğrulama bypass güvenlik açığı olan CVE-2022-22972 için başka bir istismar yayınladı.
Araştırmacılar Kritik Yönetme RCE Hatası için POC istismarını serbest bırakacaklar, şimdi Patch
VMware, Vrealize Günlük Analizi Aracı'ndaki kritik güvenlik hatalarını düzeltir
Ransomware Gang, sunucuları ihlal etmek için yeni Microsoft Exchange istismarını kullanıyor
Bilgisayar korsanları, backdoors yüklemek için kritik vmware rce kusurunu kullanır
Araştırmacılar Yeni VMware Auth Bypass için istismar yayınlayacak, şimdi Patch
Kaynak: Bleeping Computer