Horizon3 Güvenlik Araştırmacıları, bir VMware VRealize Log Insight Güvenlik Açığı Zinciri için Kavram Kanıtı (POC) kodu yayınladı, bu da saldırganların açılmamış cihazlarda uzaktan kod yürütülmesini sağladı.
VMware, geçen hafta VRealize Günlük Analiz aracında dört güvenlik açığı yamaladı, ikisi kritik ve uzak saldırganların tehlikeye atılan cihazlarda kod yürütmesine izin verdi.
Her ikisi de 9.8/10 CVSS taban skorları ile kritik bir ciddiyet olarak etiketlenir ve kullanıcı etkileşimi gerektirmeyen düşük karmaşıklık saldırılarının bir parçası olarak kullanılabilir.
Birincisi (CVE-2022-31706) bir dizin geçiş hatasıdır ve ikincisi (CVE-2022-31704) kırık bir erişim kontrolü kusurudur. Etkilenen cihazların işletim sistemine kötü niyetli olarak hazırlanmış dosyalar enjekte etmek için istismar edilebilirler.
VMware ayrıca, hizmet durumlarının reddini tetikleyen bir seanslama güvenlik açığı (CVE-2022-31710) ve saldırganların hassas oturum ve uygulama bilgilerine erişim elde etmek için kullanabileceği bir bilgi açıklama hatasını (CVE-2022-31711) düzeltti.
Horizon3, Cuma günü, üçünün tehdit saldırganları tarafından, tehlikeye atılan VMware Vrealize cihazlarında uzaktan kök olarak kodu yürütmek için nasıl zincirlenebileceği hakkında ek bilgi içeren bir blog yazısı yayınladı.
Araştırmacılar ayrıca, ağ savunucularının bir gün önce bu hata zincirini hedefleyen serbest bırakacaklarını uyardıktan sonra ağ savunucularının ağlarında sömürü tespit etmek için kullanabileceği bir uzlaşma göstergeleri (IOCS) göstergelerinin bir listesi yayınladılar.
Horizon3, bugün daha önce POC istismarını yayınladı ve RCE istismarının "keyfi bir dosya yazma elde etmek için çeşitli tasarruflu RPC uç noktalarını kötüye kullandığını" açıkladı.
Araştırmacılar, "Bu güvenlik açığından yararlanmak kolaydır, ancak saldırganın kötü niyetli yükler sunmak için bazı altyapı kurulumuna sahip olmasını gerektirir." Dedi.
"Buna ek olarak, bu ürünün internete maruz kalması olası olmadığından, saldırgan muhtemelen ağda başka bir yerde bir yer oluşturmuş olmuştur. Bu güvenlik açığı, uzaktan kod yürütülmesine kök olarak izin verir ve saldırganın sistem üzerinde tam bir kontrol sağlar."
Shodan verilerine göre, internette kamuya açık olarak sadece birkaç düzine örnek olsa da, VMware Vrealize Log Insight cihazlarına bir kuruluşun ağından erişilecek şekilde tasarlandığı göz önüne alındığında, bu beklenmelidir.
Bununla birlikte, saldırganların yanal hareket için zaten tehlikeye atılmış ağlardaki güvenlik açıklarından yararlanmaları nadir değildir, bu da savunmasız VMware cihazlarını değerli iç hedefler haline getirir.
Her ne kadar bu istismar zincirinden yararlanan saldırılar hakkında hiçbir kamuoyu raporu olmamasına ve vahşi, becerikli ve motive olmuş tehdit aktörlerinde onu kullanma girişimi olmasa da, Horizon3'ün RCE istismarını benimsemeye veya kendi özel sürümlerini oluşturmak için hızla hareket edeceklerdir.
Geçen yıl, Horizon3 araştırmacıları ayrıca CVE-2022-22972 için bir istismar yayınladı, bu da çoklu VMware ürünlerini etkileyen ve kötü amaçlı bir aktörün açılmamış örneklerde yönetici ayrıcalıkları kazanmasına izin veren kritik bir kimlik doğrulama güvenlik kusuru.
Araştırmacılar VMware Vrealize Log RCE istismarını yayınlayacak, şimdi Patch
Araştırmacılar Kritik Yönetme RCE Hatası için POC istismarını serbest bırakacaklar, şimdi Patch
Araştırmacılar Yeni VMware Auth Bypass için istismar yayınlayacak, şimdi Patch
VMware, Vrealize Günlük Analizi Aracı'ndaki kritik güvenlik hatalarını düzeltir
Exploit kritik yönetme için yayınlanan rce hatası, yama şimdi
Kaynak: Bleeping Computer