Exploit lanzado para vulnerabilidad de omisión de autenticación SSH de VMware

Iniciado por AXCESS, Septiembre 04, 2023, 03:37:21 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 04, 2023, 03:37:21 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se lanzó un código de explotación de prueba de concepto para una vulnerabilidad crítica de omisión de autenticación SSH en la herramienta de análisis Aria Operations for Networks de VMware (anteriormente conocida como vRealize Network Insight).

La falla (rastreada como CVE-2023-34039) fue encontrada por analistas de seguridad de ProjectDiscovery Research y VMware la parchó el miércoles con el lanzamiento de la versión 6.11.

La explotación exitosa permite a atacantes remotos evitar la autenticación SSH en dispositivos sin parches y acceder a la interfaz de línea de comando de la herramienta en ataques de baja complejidad que no requieren interacción del usuario debido a lo que la compañía describe como "una falta de generación de clave criptográfica única".

Para mitigar la falla, VMware "recomienda encarecidamente" aplicar parches de seguridad para Aria Operations for Networks versiones 6.2/6.3/6.4/6.5.1/6.6/6.7/6.8/6.9/6.10.

VMware confirmó que el código de explotación CVE-2023-34039 se publicó en línea, dos días después de revelar el error de seguridad crítico.

El exploit de prueba de concepto (PoC) apunta a todas las versiones de Aria Operations for Networks desde 6.0 a 6.10, y fue desarrollado y lanzado por la investigadora de vulnerabilidades de Summoning Team, Sina Kheirkhah.

Kheirkhah dijo que la causa principal del problema son las claves SSH codificadas que quedan después de que VMware olvidó regenerar las claves autorizadas SSH.

"Cada versión de Aria Operations for Networks de VMware tiene una clave SSH única. Para crear un exploit completamente funcional, se tuvo que recopilar todas las claves de diferentes versiones de este producto", dijo Kheirkhah.

CVE-2023-34039 PoC exploit
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

VMware también parchó una vulnerabilidad de escritura de archivos arbitraria esta semana (CVE-2023-20890), que permite a los atacantes obtener ejecución remota de código después de obtener acceso de administrador al dispositivo objetivo (la PoC CVE-2023-34039 podría permitirles obtener permisos de root después de un ataque).

En julio, VMware advirtió a los clientes que se publicó en línea un código de explotación para una falla crítica de RCE (CVE-2023-20864) en la herramienta de análisis VMware Aria Operations for Logs, parcheada en abril.

Un mes antes, la compañía emitió otra alerta sobre la explotación activa de otro error crítico de Network Insight (CVE-2023-20887) que puede provocar ataques de ejecución remota de comandos.

CISA ordenó a las agencias federales de EE. UU. parchear sus sistemas contra CVE-2023-20887 antes del 13 de julio después de agregarlo a su lista de vulnerabilidades explotadas conocidas.

En vista de esto, se recomienda encarecidamente a los administradores que actualicen sus dispositivos Aria Operations for Networks a la última versión lo antes posible como medida preventiva contra posibles ataques entrantes.

Si bien la cantidad de instancias de VMware vRealize expuestas en línea es relativamente baja, se alinea con el uso previsto de estos dispositivos en redes internas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario