Konsept Kanıtı Yıkım Kodu, saldırganların Patched Cloud Foundation ve NSX Manager aletlerinde kök ayrıcalıkları ile keyfi kodu uzaktan yürütmesine olanak tanıyan bir ön kimlik doğrulama Uzaktan Kod Yürütme (RCE) güvenlik açığı için kullanılabilir.
Kusur (CVE-2021-39144), iki VMware ürünü tarafından kullanılan Xstream açık kaynak kütüphanesindedir ve VMware tarafından 9.8/10'un neredeyse maksimum CVSSV3 baz skoru atanmıştır.
Kimlik dışı tehdit aktörleri, kullanıcı etkileşimi gerektirmeyen düşük karmaşık saldırılarda uzaktan sömürebilir.
VMware, Salı günü MDSEC'den Sina Kheirkhah ve Steven Seeley tarafından bildirilen CVE-2021-39144 kusurunu ele almak için güvenlik güncellemeleri yayınladı.
Ayrıca, sorunun ciddiyeti nedeniyle şirket, bazı yaşam sonu ürünleri için de yamalar sağladı.
Aynı gün Kheirkhah ayrıca Konsept Kanıtı (POC) istismar kodu ve Seeley'in blogunda güvenlik açığının teknik bir analizi yayınladı.
Güvenlik araştırmacısı, "Bir saldırgan, dinamik bir proxy ile özel hazırlanmış bir Xstream Marshalled yükü gönderebilir ve kök bağlamında uzaktan kod yürütülmesini tetikleyebilir."
Cuma günü, VMware ayrıca "VCF (NSX-V) karşısında CVE-2022-39144'ten yararlanan istismar kodu yayınlandı."
VMware ayrıca, cihazlarını yamalamak için güvenlik güncellemelerini hemen dağıtamayan yöneticiler için geçici bir çözüm paylaştı.
Ayrı bir destek belgesinde detaylandırılan adımlara göre, yöneticiler SSH ve Sudo aracılığıyla Bulut Fondöten ortamlarındaki her SDDC Manager sanal makinesine kök hesabına giriş yapmalıdır.
Daha sonra, saldırı vektörünü kaldırmak için vSphere (NSX-V) sıcak yaması için bir NSX uygulayarak Xstream kitaplığını 1.4.19 sürümüne yükseltmek zorundadırlar.
Ancak, Salı günü yayınlanan CVE-2021-39144 güvenlik güncellemelerinin uygulanmasının aksine, geçici çözüm "yeni bir VI iş yükü alanı oluşturulduğunda" bu prosedürden geçmesini gerektirecektir.
Ağustos ayında VMware, birden fazla VMware ürününde kritik bir kimlik doğrulama bypass güvenlik kusurunu (CVE-2022-31656) hedefleyen başka bir kamu POC istismarının müşterilerini uyararak saldırganların açılmamış cihazlarda yönetici ayrıcalıkları kazanmasına izin verdi.
VMware ayrıca, bu ay VCenter Server 8.0'a (en son sürüm) güncelleyen müşterilere, Kasım 2021'de şirketin neredeyse bir yıl önce açıkladığı bir ayrıcalık artış kırılganlığını ele almak için bir yama beklemek zorunda kalacaklarını bilgilendirdi.
VMware, kritik bulut foundation uzaktan kod yürütme hatasını düzeltiyor
Bilgisayar korsanları kritik VMware kusurunu fidye yazılımı, madenciler için sömürüyor
Github'da Satılık Sahte Microsoft Exchange Proxynotshell istismarları
Apache Commons Metin RCE Kusur - Sakin Olun ve Yama Uzak
Kritik Fortinet Auth Bypass hatası için kullanılabilir istismar, şimdi yama
Kaynak: Bleeping Computer