VMware a signalé qu’une vulnérabilité d’injection de commande critique récemment corrigée dans Aria Operations for Networks (anciennement vRealize Network Insight) a fait l’objet d’une exploitation active dans la nature.
La faille, suivie comme CVE-2023-20887pourrait permettre à un acteur malveillant disposant d’un accès réseau au produit d’effectuer une attaque par injection de commande, entraînant l’exécution de code à distance.
Cela affecte les versions 6.x de VMware Aria Operations Networks, avec des correctifs publiés dans les versions 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 et 6.10 le 7 juin 2023.
Maintenant, selon une mise à jour partagée par le fournisseur de services de virtualisation le 20 juin, la faille a été militarisée dans des attaques réelles, bien que les détails exacts soient encore inconnus.
« VMware a confirmé que l’exploitation de CVE-2023-20887 s’est produite dans la nature », a déclaré la société. indiqué.
Données recueillies par la société de renseignements sur les menaces GreyNoise montre exploitation active de la faille à partir de deux adresses IP différentes situées aux Pays-Bas.
Le développement intervient après que la chercheuse de Summoning Team Sina Kheirkhah, qui a identifié et signalé les failles, a publié un exploit de preuve de concept (PoC) pour le bogue.
« Cette vulnérabilité comprend une chaîne de deux problèmes conduisant à l’exécution de code à distance (RCE) qui peut être exploitée par des attaquants non authentifiés », a déclaré Kheirkhah. a dit.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Au contraire, la vitesse à laquelle les acteurs étatiques ou les groupes à motivation financière contournent les vulnérabilités nouvellement révélées et les exploitent à leur avantage continue d’être une menace majeure pour les organisations du monde entier.
La divulgation fait également suite à un rapport de Mandiant, qui a mis au jour l’exploitation active d’une autre faille dans VMware Tools (CVE-2023-20867) par un acteur chinois présumé surnommé UNC3886 pour détourner les hôtes Windows et Linux.
Il est recommandé aux utilisateurs d’Aria Operations for Networks de mettre à jour la dernière version dès que possible pour atténuer les risques potentiels.