VMware Aria Operations for Networks’ü (eski adıyla vRealize Network Insight) etkileyen ve kısa süre önce açıklanan kritik bir kusur için kavram kanıtı (PoC) istismar kodu kullanıma sunuldu.
CVE-2023-34039 olarak izlenen kusur, önem derecesi için maksimum 10 üzerinden 9,8 olarak derecelendirilmiştir ve benzersiz kriptografik anahtar oluşturma eksikliği nedeniyle bir kimlik doğrulama atlama durumu olarak tanımlanmıştır.
VMware bu hafta başında yaptığı açıklamada “Aria Operations for Networks’e ağ erişimi olan kötü niyetli bir aktör SSH kimlik doğrulamasını atlayarak Aria Operations for Networks CLI’ya erişim sağlayabilir” dedi.
VMware tarafından yayınlanan yamanın analizinin ardından PoC’yi yayınlayan Summoning Team’den Sina Kheirkhah, temel nedenin, authorized_keys dosyasındaki support ve ubuntu kullanıcıları için mevcut SSH anahtarlarının üzerine yazmaktan sorumlu olan refresh_ssh_keys() adlı bir yöntem içeren bir bash betiğine kadar izlenebileceğini söyledi.
Kheirkhah, “SSH kimlik doğrulaması mevcut; ancak VMware anahtarları yeniden oluşturmayı unutmuş,” dedi. “VMware’in Ağlar için Aria Operasyonları, 6.0 sürümünden 6.10 sürümüne kadar anahtarlarını sabit kodlamıştı.”
VMware’in en son düzeltmeleri, Ağlar için Aria Operations’ı etkileyen ve yönetici erişimine sahip bir düşman tarafından dosyaları rastgele konumlara yazmak ve uzaktan kod yürütme elde etmek için kötüye kullanılabilecek rastgele dosya yazma güvenlik açığı olan CVE-2023-20890’ı da ele alıyor.
Başka bir deyişle, bir tehdit aktörü cihaza yönetici erişimi elde etmek ve CVE-2023-20890’dan yararlanarak rastgele yükler çalıştırmak için PoC’den yararlanabilir, bu da kullanıcıların potansiyel tehditlere karşı güvenlik sağlamak için güncellemeleri uygulamalarını çok önemli hale getirir.
PoC’nin yayınlanması, sanallaştırma teknolojisi devinin VMware Tools’un çeşitli Windows ve Linux sürümlerinde yüksek önem derecesine sahip SAML token imza atlama hatası (CVE-2023-20900, CVSS puanı: 7.5) için düzeltmeler yayınlamasıyla aynı zamana denk geliyor.
Şirket Perşembe günü yayınladığı bir danışmanlıkta “Sanal makine ağında ortadaki adam (MITM) ağ konumlandırmasına sahip kötü niyetli bir aktör, VMware Tools Konuk İşlemlerini gerçekleştirmek için SAML belirteci imza doğrulamasını atlayabilir” dedi.
GitHub Güvenlik Laboratuvarı’ndan Peter Stöckli, aşağıdaki sürümleri etkileyen kusuru bildirmekle görevlendirildi
Windows için VMware Araçları (12.x.x, 11.x.x, 10.3.x) – 12.3.0’da düzeltildi
Linux için VMware Araçları (10.3.x) – 10.3.26’da düzeltildi
Linux için VMware Tools’un açık kaynak uygulaması veya open-vm-tools (12.x.x, 11.x.x, 10.3.x) – 12.3.0’da düzeltildi (Linux satıcıları tarafından dağıtılacak)
Fortinet FortiGuard Labs, Adobe ColdFusion açıklarının tehdit aktörleri tarafından kripto para madencileri ve kripto kaçırma ve dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirebilen Satan DDoS (diğer adıyla Lucifer) ve RudeMiner (diğer adıyla SpreadMiner) gibi hibrit botları konuşlandırmak için kullanılmaya devam ettiği konusunda uyarıda bulundu.
Ayrıca sistemleri ele geçirmesi, hassas bilgileri çalması ve DDoS saldırıları başlatmasıyla bilinen BillGates (diğer adıyla Setag) adlı bir arka kapı da konuşlandırıldı.
