Um código de exploração de prova de conceito foi lançado para uma vulnerabilidade crítica de autenticação SSH em uma ferramenta de análise do Aria Operations for Networks da VMware (anteriormente conhecida como vRealize Network Insight).
A falha (rastreada como
CVE-2023-34039
) foi encontrada por analistas de segurança do ProjectDiscovery Research e corrigida pela VMware na quarta-feira com o lançamento da versão 6.11.
A exploração bem-sucedida permite que invasores remotos contornem a autenticação SSH em dispositivos sem patch e acessem a interface de linha de comando da ferramenta em ataques de baixa complexidade que não requerem interação do usuário por causa do que a empresa descreve como "falta de geração de chave criptográfica única".
Para mitigar a falha, a VMware "recomenda fortemente" a aplicação de patches de segurança para as versões 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10 do Aria Operations for Networks disponível neste documento de suporte.
Hoje, a VMware confirmou que o código de exploração do
CVE-2023-34039
foi publicado online, dois dias após divulgar o bug de segurança crítico.
A exploração de prova de conceito (PoC) atinge todas as versões de Aria Operations for Networks de 6.0 a 6.10, e foi desenvolvida e lançada pelo pesquisador de vulnerabilidades do Summoning Team, Sina Kheirkhah.
Kheirkhah disse que a causa raiz do problema são as chaves SSH codificadas deixadas depois que a VMware se esqueceu de regenerar as chaves autorizadas SSH.
"Cada versão do Aria Operations for Networks da VMware tem uma chave SSH única.
Para criar um exploit totalmente funcional, tive que coletar todas as chaves das diferentes versões deste produto", disse Kheirkhah.
A VMware também corrigiu uma vulnerabilidade de gravação de arquivo arbitrário esta semana (
CVE-2023-20890
), que permite aos invasores obter execução de código remoto após obter acesso de admin ao dispositivo alvo (o PoC do
CVE-2023-34039
poderia permitir que eles obtenham permissões root após ataques bem-sucedidos).
Em julho, a VMware alertou os clientes de que um código de exploração foi lançado online para uma falha crítica de RCE (
CVE-2023-20864
) na ferramenta de análise VMware Aria Operations for Logs, corrigida em abril.
Um mês antes, a empresa emitiu outro alerta sobre a exploração ativa de outro bug crítico do Network Insight (
CVE-2023-20887
) que pode levar a ataques de execução de comando remoto.
A CISA ordenou que as agências federais dos EUA corrigissem seus sistemas contra o
CVE-2023-20887
até 13 de julho, depois de adicioná-lo à sua lista de vulnerabilidades exploradas conhecidas.
Diante disso, é altamente recomendável que os administradores atualizem seus dispositivos Aria Operations for Networks para a versão mais recente o mais rápido possível como medida preventiva contra possíveis ataques futuros.
Embora o número de instâncias expostas online do VMware vRealize seja relativamente baixo, ele se alinha ao uso pretendido desses dispositivos em redes internas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...