-
09/04/2020
-
85
-
553 bài viết
VMware vá lỗ hổng cho phép kẻ tấn công chạy mã với quyền root
VMware vừa phát hành các bản cập nhật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến sản phẩm VMware Aria Operations for Logs (trước đây là vRealize Log Insight).
VMware Aria Operations for Logs là công cụ phân tích log giúp quản lý ứng dụng và cơ sở hạ tầng trong môi trường quy mô lớn.
Cụ thể, CVE-2023-20864, điểm CVSS 9,8 là một lỗ hổng deserialization, có thể bị kẻ tấn công chưa xác thực lạm dụng để thực thi mã tùy ý với quyền root trên các hệ thống bị xâm nhập.
Bên cạnh đó, lỗ hổng này có thể bị khai thác trong các cuộc tấn công có độ phức tạp thấp, không yêu cầu tương tác của người dùng.
VMware cũng giải quyết một lỗ hổng nghiêm trọng khác là CVE-2023-20865, điểm CVSS 7,2. Đây là lỗi command injection có thể bị kẻ tấn công có đặc quyền quản trị khai thác để thực thi các lệnh tùy ý với quyền root.
Cả hai lỗ hổng chưa bị khai thác trên thực tế và đã được xử lý trong phiên bản VMware Aria Operations for Logs 8.12.
Hãng cũng nhấn mạnh CVE-2023-20864 là lỗ hổng nghiêm trọng, chỉ ảnh hưởng đến phiên bản 8.10.2 và quản trị viên nên vá ngay lập tức theo hướng dẫn trong khuyến cáo.
Vào tháng 1 năm 2023, VMware cũng giải quyết một cặp lỗ hổng nghiêm trọng khác (CVE-2022-31706 và CVE-2022-31704) ảnh hưởng đến VMware Aria Operations, cho phép thực thi mã từ xa. Ngoài ra còn có các lỗ hổng có thể bị khai thác để đánh cắp thông tin (CVE-2022- 31711) và tấn công từ chối dịch vụ (CVE-2022-31710).
Không nhiều hệ thống VMware vRealize tiếp xúc với Internet, điều này là dễ hiểu vì các thiết bị này chỉ được truy cập trong mạng nội bộ của các tổ chức. Tuy nhiên, không có gì lạ khi kẻ tấn công khai thác những lỗ hổng ảnh hưởng đến các thiết bị trong một hệ thống đã bị xâm nhập. Do đó, một thiết bị VMware được cấu hình đúng nhưng tồn tại lỗ hổng luôn là mục tiêu hấp dẫn của các hacker.
VMware Aria Operations for Logs là công cụ phân tích log giúp quản lý ứng dụng và cơ sở hạ tầng trong môi trường quy mô lớn.
Cụ thể, CVE-2023-20864, điểm CVSS 9,8 là một lỗ hổng deserialization, có thể bị kẻ tấn công chưa xác thực lạm dụng để thực thi mã tùy ý với quyền root trên các hệ thống bị xâm nhập.
Bên cạnh đó, lỗ hổng này có thể bị khai thác trong các cuộc tấn công có độ phức tạp thấp, không yêu cầu tương tác của người dùng.
VMware cũng giải quyết một lỗ hổng nghiêm trọng khác là CVE-2023-20865, điểm CVSS 7,2. Đây là lỗi command injection có thể bị kẻ tấn công có đặc quyền quản trị khai thác để thực thi các lệnh tùy ý với quyền root.
Cả hai lỗ hổng chưa bị khai thác trên thực tế và đã được xử lý trong phiên bản VMware Aria Operations for Logs 8.12.
Hãng cũng nhấn mạnh CVE-2023-20864 là lỗ hổng nghiêm trọng, chỉ ảnh hưởng đến phiên bản 8.10.2 và quản trị viên nên vá ngay lập tức theo hướng dẫn trong khuyến cáo.
Vào tháng 1 năm 2023, VMware cũng giải quyết một cặp lỗ hổng nghiêm trọng khác (CVE-2022-31706 và CVE-2022-31704) ảnh hưởng đến VMware Aria Operations, cho phép thực thi mã từ xa. Ngoài ra còn có các lỗ hổng có thể bị khai thác để đánh cắp thông tin (CVE-2022- 31711) và tấn công từ chối dịch vụ (CVE-2022-31710).
Không nhiều hệ thống VMware vRealize tiếp xúc với Internet, điều này là dễ hiểu vì các thiết bị này chỉ được truy cập trong mạng nội bộ của các tổ chức. Tuy nhiên, không có gì lạ khi kẻ tấn công khai thác những lỗ hổng ảnh hưởng đến các thiết bị trong một hệ thống đã bị xâm nhập. Do đó, một thiết bị VMware được cấu hình đúng nhưng tồn tại lỗ hổng luôn là mục tiêu hấp dẫn của các hacker.
Chỉnh sửa lần cuối: