تم إصدار استغلال PoC لضعف تجاوز مصادقة SSH الحرج في VMware Aria. تم توفير رمز استغلال PoC (دليل على المفهوم) لضعف أمني حرج تم الكشف عنه مؤخرًا وإصلاحه في VMware Aria Operations for Networks (المعروف سابقًا باسم vRealize Network Insight).
بينما تم تصنيف الخلل. الذي تم تتبعه على أنه CVE-2023-34039. بدرجة 9.8 من أصل 10 كحد أقصى لل severity وتم وصفه على أنه حالة تجاوز مصادقة بسبب عدم إنشاء مفاتيح cryptographique فريدة.
“يمكن لمهاجم ضار لديه وصول إلى شبكة Aria Operations for Networks تجاوز مصادقة SSH للوصول إلى CLI Aria Operations for Networks”. كما قالت VMware في وقت سابق من هذا الأسبوع.
قال Sina Kheirkhah من Summoning Team. الذي نشر PoC بعد تحليل التصحيح من قبل VMware. أن السبب الجذري يمكن تتبعه إلى برنامج bash script يحتوي على طريقة تسمى refresh_ssh_keys (). والتي هي المسؤولة عن الكتابة فوق مفاتيح SSH الحالية لمستخدمي support و ubuntu في ملف authorized_keys.
“هناك مصادقة SSH موجودة ؛ ومع ذلك. نسيت VMware إعادة إنشاء المفاتيح “. قال Kheirkhah. “كان لدى VMware Aria Operations for Networks مفاتيحه مُجمَّدة من الإصدار 6.0 إلى 6.10.”
تعالج إصلاحات VMware الأخيرة أيضًا CVE-2023-20890. وهو ثغرة كتابة ملف تعسفي تؤثر على Aria Operations for Networks والتي يمكن أن تستغلها خصمًا لديه وصول إداري لكتابة ملفات إلى مواقع عشوائية وتحقيق تنفيذ رمز عن بعد.
بمعنى آخر. يمكن ل actor threat أن يستغل PoC للحصول على وصول إداري إلى الجهاز واستغلال CVE-2023-20890 لتشغيل payloads عشوائية. مما يجعل من الضروري أن يقوم المستخدمون بتطبيق التحديثات لحماية أنفسهم من التهديدات المحتملة.
يتزامن إصدار PoC مع إصدار عملاق التكنولوجيا الافتراضي تصحيحات لضعف تجاوز توقيع رمز SAML عالي الخطورة (CVE-2023-20900 ، درجة CVSS: 7.5) عبر العديد من إصدارات Windows و Linux من VMware Tools.
“يمكن ل actor malicious مع وضع man-in-the-middle (MITM) في شبكة الجهاز الظاهري أن يتجاوز التحقق من توقيع رمز SAML. لأداء VMware Tools Guest Operations”. قالت الشركة في advisory صدر يوم الخميس.
تم credited Peter Stöckli من GitHub Security Lab بالإبلاغ عن الخلل.
الذي يؤثر على الإصدارات التالية:
- VMware Tools for Windows (12.x.x ، 11.x.x ، 10.3.x) – تم إصلاحه في 12.3.0
- VMware Tools for Linux (10.3.x) – تم إصلاحه في 10.3.26
- التنفيذ المفتوح المصدر لـ VMware Tools for Linux أو open-vm-tools (12.x.x ، 11.x.x ، 10.3.x) – تم إصلاحه في 12.3.0 ( ليتم توزيعه بواسطة بائعي Linux)
بينما. يأتي هذا التطور في الوقت الذي حذر فيه Fortinet FortiGuard Labs من استمرار استغلال ثغرات Adobe ColdFusion من قبل threat actors لنشر منجمي cryptocurrency و hybrid bots مثل Satan DDoS (المعروف أيضًا باسم Lucifer) و RudeMiner (المعروف أيضًا باسم SpreadMiner) القادرة على تنفيذ هجمات cryptojacking و distributed denial-of-service (DDoS).
في النهاية يتم أيضًا نشر backdoor باسم BillGates (المعروف أيضًا باسم Setag). والذي يُعرف باختطاف الأنظمة وسرقة المعلومات الحساسة وبدء هجمات DDoS.
تم إصدار استغلال PoC لضعف تجاوز مصادقة SSH الحرج في VMware Aria. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.