A VMware atualizou um aviso de segurança publicado há duas semanas para alertar os clientes de que uma vulnerabilidade crítica, agora corrigida, que permite a execução remota de código, está sendo ativamente explorada em ataques.
"A VMware confirmou que a exploração do
CVE-2023-20887
ocorreu", disse a empresa hoje.
Este aviso segue várias advertências da empresa de cibersegurança GreyNoise, a primeira emitida uma semana após a correção da falha de segurança pela VMware em 15 de junho e apenas dois dias após o pesquisador de segurança Sina Kheirkhah compartilhar detalhes técnicos e código de exploração de prova de conceito.
"Observamos atividades de varredura em massa tentadas utilizando o código de prova de conceito mencionado acima na tentativa de lançar um shell reverso que se conecta a um servidor controlado pelo atacante para receber comandos adicionais", disse o analista de pesquisa da GreyNoise, Jacob Fisher.
O CEO da GreyNoise, Andrew Morris, também alertou os administradores da VMware sobre essa atividade maliciosa em andamento hoje cedo, o que provavelmente levou a VMware a atualizar seu aviso.
A GreyNoise agora fornece uma tag dedicada para ajudar a acompanhar os endereços IP observados enquanto tenta explorar o
CVE-2023-20887
.
A vulnerabilidade afeta a VMware Aria Operations for Networks (anteriormente vRealize Network Insight), uma ferramenta de análise de rede que ajuda os administradores a otimizar o desempenho da rede ou gerenciar implantações de VMware e Kubernetes.
Atores de ameaças não autenticados podem explorar essa falha de injeção de comando em ataques de baixa complexidade que não exigem interação do usuário.
"VMWare Aria Operations for Networks (vRealize Network Insight) é vulnerável à injeção de comando ao aceitar entrada do usuário por meio da interface Apache Thrift RPC", explicou Kheirkhah em uma análise da causa raiz do bug de segurança.
"Essa vulnerabilidade permite que um atacante remoto não autenticado execute comandos arbitrários no sistema operacional subjacente como usuário root."
Não há soluções alternativas disponíveis para remover o vetor de ataque para o
CVE-2023-20887
, portanto, os administradores devem corrigir todas as instalações locais do VMware Aria Operations Networks 6.X para garantir que estejam seguras contra ataques em andamento.
Uma lista completa de patches de segurança para todas as versões vulneráveis de Aria Operations for Networks está disponível no site Customer Connect da VMware.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...