VMware ha avvertito i suoi clienti lunedì che è ora disponibile un codice di exploit proof-of-concept (PoC) per una vulnerabilità di bypass dell’autenticazione in vRealize Log Insight (ora noto come VMware Aria Operations for Logs). “VMware ha confermato che il codice di exploit per CVE-2023-34051 è stato pubblicato”, ha dichiarato l’azienda in un aggiornamento all’avviso originale.
Dettagli della vulnerabilità
Identificata come CVE-2023-34051, questa vulnerabilità permette ad attaccanti non autenticati di eseguire codice in remoto con permessi di root se sono soddisfatte determinate condizioni. L’exploit avviene con successo se l’attaccante compromette un host all’interno dell’ambiente bersaglio e possiede i permessi per aggiungere un’interfaccia extra o un indirizzo IP statico, secondo i ricercatori di sicurezza di Horizon3 che hanno scoperto il bug.
Horizon3 ha pubblicato un’analisi tecnica della causa alla base di questa vulnerabilità di sicurezza venerdì, fornendo ulteriori informazioni su come CVE-2023-34051 possa essere utilizzato per ottenere l’esecuzione di codice remoto come root su apparecchiature VMware non patchate. I ricercatori di sicurezza hanno anche rilasciato un exploit PoC e una lista di indicatori di compromissione (IOCs) che i difensori della rete potrebbero utilizzare per rilevare tentativi di sfruttamento all’interno dei loro ambienti.
Catena di exploit RCE
Questa vulnerabilità rappresenta anche un bypass per una catena di exploit di gravi vulnerabilità corrette da VMware a gennaio, consentendo agli attaccanti di ottenere l’esecuzione di codice remoto. La prima (CVE-2022-31706) è un bug di attraversamento di directory, la seconda (CVE-2022-31704) è una vulnerabilità di controllo degli accessi, mentre la terza, un bug di divulgazione di informazioni (CVE-2022-31711), permette agli attaccanti di accedere a informazioni sensibili di sessione e applicazione. Gli attaccanti possono concatenare queste vulnerabilità (collettivamente tracciate come VMSA-2023-0001 da VMware) per iniettare file malevoli nel sistema operativo delle apparecchiature VMware che eseguono il software Aria Operations for Logs non aggiornato.
Quando i ricercatori di sicurezza di Horizon3 hanno rilasciato un exploit PoC VMSA-2023-0001 una settimana dopo gli aggiornamenti di sicurezza dell’azienda, hanno spiegato che il loro exploit RCE “sfrutta i vari endpoint RPC di Thrift per ottenere una scrittura di file arbitraria”.
Considerazioni finali
È importante notare che, sebbene questa vulnerabilità sia facile da sfruttare, richiede all’attaccante di avere una certa infrastruttura per servire payload malevoli. Inoltre, dato che è improbabile che questo prodotto sia esposto su Internet, è probabile che l’attaccante abbia già stabilito una presenza altrove nella rete. Tuttavia, gli attori delle minacce sfruttano spesso le vulnerabilità all’interno di reti precedentemente compromesse per il movimento laterale, rendendo le apparecchiature VMware vulnerabili obiettivi interni preziosi.