(https://i.imgur.com/pZrrHh0.png)
VMware abordó una vulnerabilidad de seguridad crítica de vRealize Log Insight que permite a los atacantes remotos obtener la ejecución remota en dispositivos vulnerables.
Ahora conocida como VMware Aria Operations for Logs, esta herramienta de análisis de registros ayuda a administrar terabytes de registros de aplicaciones e infraestructura en entornos a gran escala.
El error (rastreado como CVE-2023-20864) se describe como una vulnerabilidad de deserialización que se puede abusar para ejecutar código arbitrario como root en sistemas comprometidos.
CVE-2023-20864 puede ser explotado de forma remota por actores de amenazas no autenticados en ataques de baja complejidad que no requieren interacción del usuario.
Hoy, VMware también lanzó actualizaciones de seguridad para una segunda falla de seguridad (rastreada como CVE-2023-20865) que permite a los atacantes remotos con privilegios administrativos ejecutar comandos arbitrarios como root.
Ambas vulnerabilidades se solucionaron con el lanzamiento de VMware Aria Operations for Logs 8.12. No hay evidencia de que estos errores de seguridad hayan sido explotados en la naturaleza antes de ser parcheados.
"CVE-2023-20864 es un problema crítico y debe parchearse inmediatamente según las instrucciones del aviso. Es necesario destacar que solo la versión 8.10.2 se ve afectada por esta vulnerabilidad (CVE-2023-20864)", dijo VMware.
"Otras versiones de VMware Aria Operations for Logs (anteriormente vRealize Log Insight) se ven afectadas por CVE-2023-20865, pero esto tiene una puntuación CVSSv3 más baja de 7.2".
Otros dos errores críticos de vRealize parcheados en eneroEn enero, la compañía abordó otro par de vulnerabilidades críticas (CVE-2022-31706 y CVE-2022-31704) que afectan al mismo producto y permiten la ejecución remota de código, así como fallas que podrían explotarse para el robo de información (CVE-2022-31711) y ataques de denegación de servicio (CVE-2022-31710).
Una semana después, los investigadores de seguridad del equipo de ataque de Horizon3 lanzaron código de prueba de concepto (PoC) para encadenar tres de los cuatro errores para ayudar a los atacantes a ejecutar código de forma remota como root en dispositivos VMware vRealize comprometidos.
Si bien solo unas pocas docenas de instancias de VMware vRealize están expuestas en línea, esto es de esperar, ya que dichos dispositivos están diseñados solo para ser accedidos desde las redes internas de las organizaciones.
Sin embargo, no es raro que los atacantes exploten las vulnerabilidades que afectan a los dispositivos en redes ya comprometidas, lo que hace que los dispositivos VMware configurados correctamente pero vulnerables sean valiosos objetivos internos.
Fuente: https://www.bleepingcomputer.com