Se ha puesto a disposición un código de explotación de prueba de concepto (PoC) para una falla crítica recientemente divulgada y reparada que afecta a VMware Aria Operations for Networks (anteriormente vRealize Network Insight).
La falla, identificada como CVE-2023-34039, tiene una calificación de gravedad de 9,8 sobre un máximo de 10 y se ha descrito como un caso de omisión de autenticación debido a la falta de generación de clave criptográfica única.
«Un actor malicioso con acceso a la red de Aria Operations for Networks podría eludir la autenticación SSH para obtener acceso a la CLI de Aria Operations for Networks», dijo VMware a principios de esta semana.
Sina Kheirkhah del equipo de invocación, quien publicó la prueba de concepto luego de un análisis del parche por parte de VMware, dijo que la causa raíz se remonta a un script bash que contiene un método llamado refresco_ssh_keys(), que es responsable de sobrescribir las claves SSH actuales para el soporte y usuarios de ubuntu en el archivo autorizado_keys.
«Existe autenticación SSH; sin embargo, VMware olvidó regenerar las claves», Kheirkhah dicho. «Aria Operations for Networks de VMware había codificado sus claves de la versión 6.0 a la 6.10».
Las últimas correcciones de VMware también abordan CVE-2023-20890, una vulnerabilidad de escritura de archivos arbitraria que afecta a Aria Operations for Networks y que podría ser abusada por un adversario con acceso administrativo para escribir archivos en ubicaciones arbitrarias y lograr la ejecución remota de código.
En otras palabras, un actor de amenazas podría aprovechar la PoC para obtener acceso de administrador al dispositivo y explotar CVE-2023-20890 para ejecutar cargas útiles arbitrarias, lo que hace crucial que los usuarios apliquen las actualizaciones para protegerse contra posibles amenazas.
El lanzamiento de la PoC coincide con la publicación por parte del gigante de la tecnología de virtualización de correcciones para una falla de omisión de firma de token SAML de alta gravedad (CVE-2023-20900, puntuación CVSS: 7.5) en varias versiones de VMware Tools para Windows y Linux.
«Un actor malicioso con posicionamiento de red man-in-the-middle (MITM) en la red de la máquina virtual puede eludir la verificación de firma del token SAML para realizar operaciones de invitado de VMware Tools», dijo la compañía. dicho en un aviso publicado el jueves.
A Peter Stöckli de GitHub Security Lab se le atribuye haber informado de la falla, que afecta a las siguientes versiones:
- VMware Tools para Windows (12.xx, 11.xx, 10.3.x): corregido en 12.3.0
- VMware Tools para Linux (10.3.x): corregido en 10.3.26
- Implementación de código abierto de VMware Tools para Linux o open-vm-tools (12.xx, 11.xx, 10.3.x): corregido en 12.3.0 (para ser distribuido por proveedores de Linux)
El desarrollo también se produce cuando Fortinet FortiGuard Labs advirtió sobre la explotación continua de las vulnerabilidades de Adobe ColdFusion por parte de actores de amenazas para implementar mineros de criptomonedas y robots híbridos como Satan DDoS (también conocido como Lucifer) y RudeMiner (también conocido como SpreadMiner), que son capaces de llevar a cabo criptojacking y ataques distribuidos de denegación de servicio (DDoS).
También se implementa una puerta trasera llamada Bill Gates (también conocido como setag), conocido por secuestrar sistemas, robar información confidencial e iniciar ataques DDoS.