El código de explotación de prueba de concepto (PoC) se ha puesto a disposición para una falla crítica recientemente divulgada y parcheada que afecta a VMware Aria Operations for Networks (anteriormente vRealize Network Insight).
La falla, rastreada como CVE-2023-34039, tiene una calificación de 9.8 de un máximo de 10 para la gravedad y se ha descrito como un caso de omisión de autenticación debido a la falta de generación de claves criptográficas únicas.
“Un actor malicioso con acceso de red a Aria Operations for Networks podría omitir la autenticación SSH para obtener acceso a la CLI de Aria Operations for Networks”, dijo VMware a principios de esta semana.
Sina Kheirkhah de Summoning Team, quien publicó la PoC después de un análisis del parche lanzado por VMware, dijo que la causa raíz se remonta a un script bash que contiene un método llamado refresh_ssh_keys(), que es responsable de sobrescribir las claves SSH actuales para los usuarios de soporte y ubuntu en el archivo authorized_keys.
“Existe la autenticación SSH; sin embargo, VMware olvidó regenerar las claves”, dijo Kheirkhah. “Aria Operations for Networks de VMware había codificado sus claves de la versión 6.0 a la 6.10”.
Las últimas correcciones de VMware también abordan CVE-2023-20890, una vulnerabilidad de escritura de archivos arbitraria que afecta a Aria Operations for Networks que podría ser abusada por un adversario con acceso administrativo para escribir archivos en ubicaciones arbitrarias y lograr la ejecución remota de código.
En otras palabras, un actor de amenazas podría aprovechar la PoC para obtener acceso de administrador al dispositivo y explotar CVE-2023-20890 para ejecutar cargas útiles arbitrarias, por lo que es crucial que los usuarios apliquen las actualizaciones para protegerse contra posibles amenazas.
El lanzamiento de la PoC coincide con la emisión de correcciones para una falla de derivación de firma de token SAML de alta gravedad (CVE-2023-20900, puntuación CVSS: 7.5) en varias versiones de Windows y Linux de VMware Tools.
“Un actor malicioso con posicionamiento de red man-in-the-middle (MITM) en la red de máquinas virtuales puede omitir la verificación de firma de token SAML, para realizar operaciones de invitados de VMware Tools”, dijo la compañía en un aviso publicado el jueves.
Peter Stöckli de GitHub Security Lab ha sido acreditado con el informe de la falla, que afecta a las siguientes versiones:
- VMware Tools para Windows (12.x.x, 11.x.x, 10.3.x): solucionado en la versión 12.3.0
- VMware Tools para Linux (10.3.x) – Corregido en 10.3.26
- Implementación de código abierto de VMware Tools para Linux o open-vm-tools (12.x.x, 11.x.x, 10.3.x) – Corregido en 12.3.0 (para ser distribuido por proveedores de Linux)
El desarrollo también se produce cuando Fortinet FortiGuard Labs advirtió sobre la explotación continua de las vulnerabilidades de Adobe ColdFusion por parte de actores de amenazas para implementar mineros de criptomonedas y bots híbridos como Satan DDoS (también conocido como Lucifer) y RudeMiner (también conocido como SpreadMiner) que son capaces de llevar a cabo ataques de cryptojacking y denegación de servicio distribuido (DDoS).
También se implementó una puerta trasera llamada BillGates (también conocida como Setag), que es conocida por secuestrar sistemas, robar información confidencial e iniciar ataques DDoS.
