VMware advierte a los administradores sobre un exploit público

Iniciado por AXCESS, Octubre 24, 2023, 03:57:15 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 24, 2023, 03:57:15 PM Ultima modificación: Octubre 24, 2023, 04:00:03 PM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

VMware advirtió a los clientes el lunes que el código de explotación de prueba de concepto (PoC) ya está disponible para una falla de omisión de autenticación en vRealize Log Insight (ahora conocido como VMware Aria Operations for Logs).

"Se actualizó VMSA para señalar que VMware ha confirmado que se ha publicado el código de explotación para CVE-2023-34051", dijo la compañía en una actualización del aviso original.

Registrado como CVE-2023-34051, permite a atacantes no autenticados ejecutar código de forma remota con permisos de root si se cumplen ciertas condiciones.

La explotación exitosa depende de que el atacante comprometa un host dentro del entorno objetivo y posea permisos para agregar una interfaz adicional o una dirección IP estática, según los investigadores de seguridad de Horizon3 que descubrieron el error.

Horizon3 publicó el viernes un análisis técnico de la causa raíz de esta falla de seguridad con información adicional sobre cómo se puede usar CVE-2023-34051 para obtener la ejecución remota de código como raíz en dispositivos VMware sin parches.

Los investigadores de seguridad también publicaron un exploit PoC y una lista de indicadores de compromiso (IOC) que los defensores de la red podrían usar para detectar intentos de explotación dentro de sus entornos.

"Este POC abusa de la suplantación de direcciones IP y de varios puntos finales de Thrift RPC para lograr una escritura de archivos arbitraria", dijo el equipo de ataque de Horizon3.

"La configuración predeterminada de esta vulnerabilidad escribe un trabajo cron para crear un shell inverso. Asegúrese de cambiar el archivo de carga útil para adaptarlo a su entorno".

"Para que este ataque funcione, un atacante debe tener la misma dirección IP que un nodo maestro/trabajador".

Omitir una cadena de exploits RCE

Esta vulnerabilidad también evita una cadena de vulnerabilidades críticas parcheadas por VMware en enero, lo que permite a los atacantes obtener la ejecución remota de código.

El primero (CVE-2022-31706) es un error de cruce de directorios, el segundo (CVE-2022-31704) es una falla de control de acceso roto, mientras que el tercero, un error de divulgación de información (CVE-2022-31711), permite a los atacantes obtener acceso a información confidencial de la sesión y la aplicación,

Los atacantes pueden encadenar estas vulnerabilidades (rastreadas colectivamente como VMSA-2023-0001 por VMware) para inyectar archivos creados con fines malintencionados en el sistema operativo de los dispositivos VMware que ejecutan el software Aria Operations for Logs sin parches.

Cuando los investigadores de seguridad de Horizon3 lanzaron un exploit PoC VMSA-2023-0001 una semana después de que la compañía publicara actualizaciones de seguridad, explicaron que su exploit RCE "abusa de los diversos puntos finales de Thrift RPC para lograr una escritura de archivos arbitraria".

"Esta vulnerabilidad es fácil de explotar, sin embargo, requiere que el atacante tenga alguna configuración de infraestructura para atender cargas útiles maliciosas", dijeron.

"Además, dado que es poco probable que este producto quede expuesto a Internet, es probable que el atacante ya haya establecido un punto de apoyo en algún otro lugar de la red".

Sin embargo, los actores de amenazas frecuentemente aprovechan las vulnerabilidades dentro de redes previamente comprometidas para el movimiento lateral, lo que convierte a los dispositivos VMware vulnerables en objetivos internos valiosos.

En junio, VMware advirtió a los clientes sobre otra vulnerabilidad crítica de ejecución remota de código en VMware Aria Operations for Networks (rastreada como CVE-2023-20887) que estaba siendo explotada en ataques.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario