Underc0de

Foros Generales => Noticias Informáticas => Mensaje iniciado por: AXCESS en Febrero 01, 2023, 01:16:56 AM

Título: Exploit lanzado para vulnerabilidad crítica de VMware vRealize RCE
Publicado por: AXCESS en Febrero 01, 2023, 01:16:56 AM
(https://i.postimg.cc/9QrrZKFR/VMware.png) (https://postimages.org/)

Los investigadores de seguridad de Horizon3 han publicado un código de prueba de concepto (PoC) para una cadena de vulnerabilidades de VMware vRealize Log Insight que permite a los atacantes obtener la ejecución remota de código en dispositivos sin parches.

VMware parchó cuatro vulnerabilidades de seguridad en su herramienta de análisis de registros vRealize la semana pasada, dos de las cuales son críticas y permiten a atacantes remotos ejecutar código en dispositivos comprometidos.

Ambos están etiquetados como de gravedad crítica con puntajes base de CVSS de 9.8/10 y pueden explotarse como parte de ataques de baja complejidad que no requieren la interacción del usuario.

El primero (CVE-2022-31706) es un error de cruce de directorios y el segundo (CVE-2022-31704) es una falla de control de acceso roto. Se puede abusar de ellos para inyectar archivos creados con fines malintencionados en el sistema operativo de los dispositivos afectados.

VMware también corrigió una vulnerabilidad de deserialización (CVE-2022-31710) que desencadena estados de denegación de servicio y un error de divulgación de información (CVE-2022-31711) que los atacantes pueden usar para obtener acceso a información confidencial de aplicaciones y sesiones.

Horizon3 publicó una publicación de blog el viernes que contenía información adicional sobre cómo tres de ellos podrían ser encadenados por atacantes de amenazas para ejecutar código de forma remota como root en dispositivos VMware vRealize comprometidos.

Los investigadores también publicaron una lista de indicadores de compromiso (IOC, por sus siglas en inglés) que los defensores de la red podrían usar para detectar la explotación dentro de sus redes después de advertir un día antes que lanzarán un mensaje que apunta a esta cadena de errores.

(https://i.postimg.cc/8P8TgP0L/Horizon3-Attack-Team-on-Twitter.png) (https://postimages.org/)

Hoy temprano, Horizon3 publicó el exploit PoC y explicó que el exploit RCE "abusa de los diversos puntos finales de Thrift RPC para lograr una escritura de archivo arbitraria".

https://www.horizon3.ai/vmware-vrealize-log-insight-vmsa-2023-0001-technical-deep-dive/

"Esta vulnerabilidad es fácil de explotar, sin embargo, requiere que el atacante tenga alguna configuración de infraestructura para servir cargas maliciosas", dijeron los investigadores.

"Además, dado que es poco probable que este producto esté expuesto a Internet, es probable que el atacante ya haya establecido un punto de apoyo en otro lugar de la red. Esta vulnerabilidad permite la ejecución remota de código como root, lo que esencialmente le da al atacante un control completo sobre el sistema".

Si bien solo hay unas pocas docenas de instancias expuestas públicamente en Internet, según los datos de Shodan, esto es de esperar dado que los dispositivos VMware vRealize Log Insight están diseñados para acceder desde dentro de la red de una organización.

Sin embargo, no es raro que los atacantes exploten vulnerabilidades en redes ya comprometidas para el movimiento lateral, lo que convierte a los dispositivos VMware vulnerables en objetivos internos valiosos.

Aunque no hay informes públicos de ataques que aprovechen esta cadena de exploits y no hay intentos de explotarla en la naturaleza, los actores de amenazas ingeniosos y motivados probablemente actuarán rápidamente para adoptar el exploit RCE de Horizon3 o crear sus propias versiones personalizadas.

El año pasado, los investigadores de Horizon3 también lanzaron un exploit para CVE-2022-22972, una falla crítica de seguridad de omisión de autenticación que afecta a múltiples productos de VMware y permite que un actor malicioso obtenga privilegios de administrador en instancias sin parches.

Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-vmware-vrealize-rce-vulnerability/