Le fournisseur de services de virtualisation VMware a alerté ses clients de l’existence d’un exploit de preuve de concept (PoC) pour une faille de sécurité récemment corrigée dans Aria Operations for Logs.
Suivie comme CVE-2023-34051 (score CVSS : 8,1), la vulnérabilité de haute gravité est liée à un cas de contournement d’authentification pouvant conduire à l’exécution de code à distance.
« Un acteur malveillant non authentifié peut injecter des fichiers dans le système d’exploitation d’une appliance concernée, ce qui peut entraîner l’exécution de code à distance », indique VMware. noté dans un avis du 19 octobre 2023.
James Horseman d’Horizon3.ai et la Randori Attack Team ont été reconnus pour avoir découvert et signalé la faille.
Horizon3.ai a depuis mis à disposition un PoC pour la vulnérabilitéincitant VMware à réviser son avis cette semaine.
Il convient de noter que CVE-2023-34051 est un correctif de contournement pour un ensemble de failles critiques qui ont été corrigées par VMware plus tôt en janvier et qui pourraient exposer les utilisateurs à des attaques d’exécution de code à distance.
« Ce patch bypass ne serait pas très difficile à trouver pour un attaquant », a déclaré Horseman. dit. « Cette attaque met en évidence l’importance d’une défense en profondeur. Un défenseur ne peut pas toujours être sûr qu’un correctif officiel atténue complètement une vulnérabilité. »
Cette divulgation intervient alors que Citrix a publié son propre avis, exhortant les clients à appliquer des correctifs pour CVE-2023-4966 (score CVSS : 9,4), une vulnérabilité de sécurité critique affectant NetScaler ADC et NetScaler Gateway qui est activement exploitée dans la nature.
« Nous avons désormais des rapports d’incidents correspondant à un détournement de session et avons reçu des rapports crédibles d’attaques ciblées exploitant cette vulnérabilité », a déclaré la société. dit cette semaine, corroborant un rapport de Mandiant, propriété de Google.
Les efforts d’exploitation devraient également s’intensifier dans les prochains jours compte tenu de la disponibilité d’un exploit PoC, baptisé Saignement Citrix.
« Ici, nous avons vu un exemple intéressant de vulnérabilité causée par une compréhension incomplète de snprintf », a déclaré Dylan Pindur, chercheur chez Assetnote. dit.
« Même si snprintf est recommandé comme version sécurisée de sprintf, il est toujours important d’être prudent. Un débordement de tampon a été évité en utilisant snprintf mais la lecture excessive du tampon qui a suivi restait un problème. »
L’exploitation active du CVE-2023-4966 a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajouter aux vulnérabilités exploitées connues (KEV), obligeant les agences fédérales américaines à appliquer les derniers correctifs d’ici le 8 novembre 2023.
Les derniers développements font également suite à la sortie de mises à jour pour trois vulnérabilités critiques d’exécution de code à distance dans SolarWinds Access Rights Manager (CVE-2023-35182, CVE-2023-35185et CVE-2023-35187scores CVSS : 9,8) que des attaquants distants pourraient utiliser pour exécuter du code avec les privilèges SYSTEM.