WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
VMware cảnh báo quản trị viên về PoC cho lỗ hổng thực thi mã từ xa trong vRealize
VMware cảnh báo các khách hàng mình về việc đã có mã khai thác (PoC) cho lỗ hổng qua mặt xác thực trong vRealize Log Insight (còn gọi là VMware Aria Operations for Logs) - công cụ phân tích log giúp quản lý ứng dụng và cơ sở hạ tầng quy mô lớn.
Lỗ hổng có mã định danh CVE-2023-34051 cho phép kẻ tấn công chưa xác thực thực thi mã từ xa với quyền root nếu thỏa mãn một số điều kiện.
Theo các nhà nghiên cứu của Horizon3 – đơn vị phát hiện ra lỗ hổng: việc khai thác thành công phụ thuộc vào kẻ tấn công xâm nhập máy chủ trong môi trường mục tiêu và có quyền thêm giao diện bổ sung hoặc địa chỉ IP tĩnh.
Horizon 3 cũng công bố một phân tích kỹ thuật cho lỗ hổng kèm thông tin bổ sung về cách CVE-2023-24051 có thể bị lợi dụng đề chiếm quyền thực thi mã với đặc quyền root trên các thiết bị VMware chưa vá.
Các nhà nghiên cứu đã phát hành một mã khai thác và danh sách các bằng chứng xâm nhập mà những người quản trị mạng có thể sử dụng để phát hiện ra các nỗ lực khai thác trong môi trường của mình quản lý.
PoC này lợi dụng việc giả mạo địa chỉ IP và nhiều các Thrift RPC endpoint để ghi đè tệp tùy ý. Cấu hình mặc định của lỗ hổng này ghi một công việc định kỳ để tạo một shell đảo ngược. Để cuộc tấn công hoạt động, kẻ tấn công phải có cùng địa chỉ IP như một master/worker node.
Ngoài ra, lỗ hổng này cũng nằm trong một chuỗi khai thác các lỗ hổng nghiêm trọng được được VMware vá vào cuối tháng 1, cho phép kẻ tấn công thực thi mã từ xa.
Lỗ hổng có mã định danh CVE-2023-34051 cho phép kẻ tấn công chưa xác thực thực thi mã từ xa với quyền root nếu thỏa mãn một số điều kiện.
Theo các nhà nghiên cứu của Horizon3 – đơn vị phát hiện ra lỗ hổng: việc khai thác thành công phụ thuộc vào kẻ tấn công xâm nhập máy chủ trong môi trường mục tiêu và có quyền thêm giao diện bổ sung hoặc địa chỉ IP tĩnh.
Horizon 3 cũng công bố một phân tích kỹ thuật cho lỗ hổng kèm thông tin bổ sung về cách CVE-2023-24051 có thể bị lợi dụng đề chiếm quyền thực thi mã với đặc quyền root trên các thiết bị VMware chưa vá.
Các nhà nghiên cứu đã phát hành một mã khai thác và danh sách các bằng chứng xâm nhập mà những người quản trị mạng có thể sử dụng để phát hiện ra các nỗ lực khai thác trong môi trường của mình quản lý.
PoC này lợi dụng việc giả mạo địa chỉ IP và nhiều các Thrift RPC endpoint để ghi đè tệp tùy ý. Cấu hình mặc định của lỗ hổng này ghi một công việc định kỳ để tạo một shell đảo ngược. Để cuộc tấn công hoạt động, kẻ tấn công phải có cùng địa chỉ IP như một master/worker node.
Ngoài ra, lỗ hổng này cũng nằm trong một chuỗi khai thác các lỗ hổng nghiêm trọng được được VMware vá vào cuối tháng 1, cho phép kẻ tấn công thực thi mã từ xa.