Los investigadores de seguridad del equipo de ataque de Horizon3 lanzarán un exploit dirigido a una cadena de vulnerabilidades la próxima semana para obtener la ejecución remota de código en dispositivos VMware vRealize Log Perception sin parches.
Ahora conocido como VMware Aria Operations for Logs, vRealize Log Perception facilita que los administradores de VMware analicen y administren terabytes de infraestructura y registros de aplicaciones.
El martes, VMware parchó cuatro vulnerabilidades de seguridad en esta herramienta de análisis de registros, dos de los cuales son críticos y permiten a los atacantes ejecutar código de forma remota sin autenticación.
Ambos están etiquetados como de gravedad crítica con Puntajes base CVSS de 9.8/10 y puede ser explotado por actores de amenazas en ataques de baja complejidad que no requieren autenticación.
Uno de ellos (CVE-2022-31706) es una vulnerabilidad de cruce de directorios de la que se puede abusar para inyectar archivos en el sistema operativo de los dispositivos afectados, y el segundo (registrado como CVE-2022-31704) es una falla de management de acceso rota que puede también puede ser explotado mediante la inyección de archivos creados con fines maliciosos en los ataques RCE.
vmware también abordado una vulnerabilidad de deserialización (CVE-2022-31710) que desencadena estados de denegación de servicio y un error de divulgación de información (CVE-2022-31711) explotable para acceder a información confidencial de sesión y aplicación.
El jueves, el equipo de ataque de Horizon3 prevenido Administradores de VMware que han podido crear un exploit que encadena tres de las cuatro fallas parcheadas por VMware esta semana para ejecutar código de forma remota como root.
Todas las vulnerabilidades se pueden explotar en la configuración predeterminada de los dispositivos VMware vRealize Log Perception. El exploit se puede utilizar para obtener acceso inicial a las redes de las organizaciones (a través de dispositivos expuestos a Web) y para el movimiento lateral con credenciales almacenadas.
Un día después, los investigadores de seguridad publicaron una publicación de weblog que contenía información adicional, incluida una lista de indicadores de compromiso (IOC) que los defensores podrían usar para detectar signos de explotación dentro de sus redes.
Los atacantes pueden obtener información confidencial de los registros en los hosts de Log Perception, incluidas las claves de API y los tokens de sesión que ayudarán a violar sistemas adicionales y comprometer aún más el medio ambiente.
“Esta vulnerabilidad es fácil de explotar, sin embargo, requiere que el atacante tenga alguna configuración de infraestructura para servir cargas maliciosas”, dijeron los investigadores. dicho.
“Además, dado que es poco possible que este producto esté expuesto a Web, es possible que el atacante ya haya establecido un punto de apoyo en algún otro lugar de la crimson.
“Esta vulnerabilidad permite la ejecución remota de código como root, esencialmente dando al atacante un management completo sobre el sistema”.
Como reveló el investigador de vulnerabilidades de Horizon3, James Horseman, solo hay 45 instancias expuestas públicamente en Web, según los datos de Shodan.
Esto es de esperar, ya que los dispositivos VMware vRealize Log Perception están diseñados para acceder desde dentro de la crimson de una organización.
Sin embargo, no es raro que los actores de amenazas abusen de las vulnerabilidades en redes ya violadas para propagarse lateralmente a otros dispositivos, convirtiéndolos en valiosos objetivos internos.
En mayo de 2022, Horizon3 lanzó otro exploit para CVE-2022-22972una vulnerabilidad de omisión de autenticación crítica que afecta a varios productos de VMware y permite a los actores de amenazas obtener privilegios de administrador.
