VMware, Pazartesi günü müşterileri, Konsept Kanıtı (POC) istismar kodunun artık Vrealize Log Insight'ta (şimdi günlükler için VMware ARIA işlemleri olarak bilinir) kimlik doğrulama baypası kusuru için kullanılabilir olduğu konusunda uyardı.
"VMware'in CVE-2023-34051 için istismar kodunun yayınlandığını doğruladığını belirtmek için VMSA güncellendi." Dedi.
CVE-2023-34051 olarak izlenen, belirli koşullar yerine getirilirse, kimlik doğrulanmamış saldırganların kök izinleri ile kodu uzaktan yürütmesine izin verir.
Hatayı keşfeden Horizon3 güvenlik araştırmacılarına göre, başarılı bir şekilde sömürü, hedeflenen ortamda bir ana bilgisayardan ödün veren ve ekstra bir arayüz veya statik IP adresi ekleme izinlerine sahip olan saldırgana bağlıdır.
Horizon3, CVE-2023-34051'in, kaldırılmamış VMware cihazlarında kök olarak uzaktan kod yürütülmesi için nasıl kullanılabileceğine dair ek bilgilerle bu güvenlik kusuru için teknik bir kök neden analizi yayınladı.
Güvenlik araştırmacıları ayrıca bir POC istismarı ve ağ savunucularının ortamlarındaki sömürü girişimlerini tespit etmek için kullanabileceği uzlaşma göstergelerinin (IOC'ler) bir listesi yayınladı.
Horizon3 saldırı ekibi, "Bu POC, rasgele bir dosya yazımı elde etmek için IP adresi sahtekarlığı ve çeşitli tasarruf RPC uç noktalarını kötüye kullanıyor." Dedi.
"Bu güvenlik açığının varsayılan yapılandırması, ters bir kabuk oluşturmak için bir cron işi yazar. Yük dosyasını ortamınıza uyacak şekilde değiştirdiğinizden emin olun.
"Bu saldırının işe yaraması için bir saldırganın ana /işçi düğümü ile aynı IP adresine sahip olması gerekir."
Bu güvenlik açığı aynı zamanda Ocak ayında VMware tarafından yamalanan kritik kusurların istismar zinciri için bir baypastır ve saldırganların uzaktan kod yürütülmesini sağlar.
Birincisi (CVE-2022-31706) bir dizin geçiş hatasıdır, ikincisi (CVE-2022-31704) kırık bir erişim kontrolü kusuru, üçüncüsü ise bir bilgi açıklama hatası (CVE-2022-31711), saldırganların saldırganlara izin vermesine izin verir Hassas oturuma ve uygulama bilgilerine erişim sağlayın,
Saldırganlar, bu güvenlik açıklarını (VMware tarafından toplu olarak VMA-2023-0001 olarak izlenir), günlük yazılımları için eşleştirilmemiş ARIA işlemlerini çalıştıran VMware cihazlarının işletim sistemine kötü niyetli olarak hazırlanmış dosyaları enjekte etmek için zincirleyebilir.
Horizon3 Güvenlik Araştırmacıları, şirket güvenlik güncellemelerini zorladıktan bir hafta sonra bir VMSA-2023-0001 POC istismarını yayınladığında, RCE istismarlarının "keyfi bir dosya yazımı elde etmek için çeşitli tasarruflu RPC uç noktalarını kötüye kullandığını" açıkladılar.
"Bu güvenlik açığından yararlanmak kolaydır, ancak saldırganın kötü niyetli yükler sunmak için bazı altyapı kurulumuna sahip olmasını gerektirir." Dedi.
"Ayrıca, bu ürünün internete maruz kalması olası olmadığından, saldırgan muhtemelen ağda başka bir yer kurmuş olmuştur.
Bununla birlikte, tehdit aktörleri, yanal hareket için daha önce tehlikeye atılmış ağlar içindeki güvenlik açıklarından sıklıkla kullanır ve savunmasız VMware cihazlarını değerli iç hedefler haline getirir.
Haziran ayında VMware, müşterileri saldırılarda kullanılan ağlar (CVE-2023-20887 olarak izlenir) için VMware ARIA işlemlerinde başka bir kritik uzaktan kod yürütme güvenlik açığı konusunda uyardı.
Saldırılarda sömürülen kritik WS_FTP Bug için kullanılabilir istismar
Kritik VMware SSH Auth Bypass Güvenlik Açığı
VMware ARIA Kritik SSH Kimlik Doğrulama Bypass kusuruna karşı savunmasız
Citrix Bleed Sazisi Hacker'ların NetScaler Hesaplarını Kaçınmasına İzin Verin
Cisco, saldırılarda aktif olarak sömürülen yeni ios xe sıfır günleri uyarıyor
Kaynak: Bleeping Computer