Белые хакеры скоро выложат в открытый доступ эксплойт VMware vRealize Log RCE
Исследователи безопасности из команды Horizon3 на следующей неделе выложат в сеть эксплойт, нацеленный на цепочку уязвимостей, для получения возможности удаленного выполнения кода на устройствах с VMware vRealize Log Insight.
Известная сейчас под названием VMware Aria Operations for Logs, программа существенно упрощает администраторам VMware анализ и управление системными журналами.
24 января VMware исправила четыре уязвимости безопасности в этом средстве анализа журналов, две из которых являются критическими и позволяют неавторизованной стороне удалённо выполнять код. Обе уязвимости помечены как критические с базовыми оценками CVSS 9,8 / 10. Они могут быть использованы злоумышленниками в атаках низкой сложности, которые не требуют аутентификации.
Одна из них (CVE-2022-31706) представляет собой уязвимость обхода каталогов, которая может быть использована для внедрения файлов в операционную систему. А вторая (CVE-2022-31704) представляет собой уязвимость управления доступом.
VMware также устранила уязвимость десериализации (CVE-2022-31710), вызывающую отказ системы, а также уязвимость раскрытия информации (CVE-2022-31711), которая может использоваться для доступа к конфиденциальным данным.
26 января команда Horizon3 предупредила администраторов VMware, что им удалось создать эксплойт, который объединяет три из четырех уязвимостей, уже исправленных VMware, для удаленного выполнения кода от имени root.
Все уязвимости можно использовать в конфигурации устройств VMware vRealize Log Insight по умолчанию. Эксплойт можно использовать для получения начального доступа к сетям организаций (через устройства, подключенные к Интернету) и для перемещения по сети с сохраненными учетными данными.
Днем позже Horizon3 опубликовали сообщение в блоге, содержащее дополнительную информацию, в том числе список индикаторов компрометации (IoC), которые специалисты могут использовать для обнаружения признаков использования в своих сетях.
С вышеупомянутым экплойтом злоумышленники могут получить конфиденциальную информацию из журналов на хостах Log Insight, включая ключи API и токены сеанса, которые могут помочь взломать дополнительные системы и скомпрометировать среду ещё больше.
Джеймс Хорсман, исследователь Horizon3 сообщил, что в Интернете сейчас насчитывается всего 45 уязвимых устройств. Это относительно немного. Такое количество вполне ожидаемо, поскольку VMware vRealize Log Insight предназначена для внутреннего доступа к сетям конкретных организаций. Подключится извне обычно не предоставляется возможным. Однако нередко киберпреступники используют уязвимости в уже скомпрометированных сетях, чтобы расширить вышеупомянутый доступ.
В мае 2022 года Horizon3 выкладывала эксплойт для CVE-2022-22972, критической уязвимости обхода аутентификации, затрагивающей несколько продуктов VMware и позволяющей хакерам получать права администратора.