Опубликован код эксплойта для критической уязвимости обхода SSH-аутентификации в средстве анализа сетей Aria Operations for Networks компании VMware (ранее известном как vRealize Network Insight).
Дефект (отслеживаемый как CVE-2023-34039) был обнаружен аналитиками по безопасности из ProjectDiscovery Research и исправлен компанией VMware в среду с выпуском версии 6.11.
Успешная эксплуатация позволяет удаленным злоумышленникам обойти SSH-аутентификацию на непропатченных устройствах и получить доступ к интерфейсу командной строки инструмента в ходе атак низкой сложности, не требующих взаимодействия с пользователем, поскольку, по словам компании, "отсутствует уникальная генерация криптографических ключей".
Для устранения дефекта VMware "настоятельно рекомендует" применить исправления безопасности для Aria Operations for Networks версий 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10, доступные в этом документе поддержки.
Сегодня компания VMware подтвердила, что код эксплойта CVE-2023-34039 был опубликован в Интернете, спустя два дня после раскрытия критической ошибки безопасности.
Эксплойт, предназначенный для всех версий Aria Operations for Networks с 6.0 по 6.10, был разработан и опубликован исследователем уязвимостей Summoning Team Синой Хейрха (Sina Kheirkhah).
По словам Хейрхаха, первопричиной проблемы являются жестко закодированные SSH-ключи, оставшиеся после того, как VMware забыла перегенерировать авторизованные ключи SSH.
"Каждая версия VMware's Aria Operations for Networks имеет уникальный SSH-ключ. Чтобы создать полнофункциональный эксплойт, мне пришлось собрать все ключи от разных версий этого продукта", - говорит Хейрхах.
На этой неделе VMware также исправила уязвимость произвольной записи файлов (CVE-2023-20890), которая позволяет злоумышленникам получить удаленное выполнение кода после получения администраторского доступа к целевому устройству (PoC CVE-2023-34039 может позволить им получить права root после успешных атак).
В июле VMware предупредила клиентов о том, что в сети появился код эксплойта для критического дефекта RCE (CVE-2023-20864) в средстве анализа журналов VMware Aria Operations for Logs, исправленного в апреле.
Месяцем ранее компания выпустила еще одно предупреждение, касающееся активной эксплуатации другой критической ошибки Network Insight (CVE-2023-20887), которая может привести к атакам с удаленным выполнением команд.
CISA предписала федеральным агентствам США до 13 июля поставить заплатки на системы с CVE-2023-20887, добавив ее в список известных эксплуатируемых уязвимостей.
В связи с этим администраторам настоятельно рекомендуется как можно скорее обновить свои устройства Aria Operations for Networks до последней версии в качестве упреждающей меры против возможных атак.
Хотя количество экземпляров VMware vRealize, подвергшихся атаке, относительно невелико, оно соответствует предполагаемому использованию этих устройств во внутренних сетях.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!