Нашумевшая группировка Horizon3 вновь демонстрирует, почему важно вовремя устанавливать обновления безопасности.
Исследователи безопасности из команды Для просмотра ссылки Войди
Известная сейчас под названием VMware Aria Operations for Logs, программа существенно упрощает администраторам VMware анализ и управление системными журналами.
24 января VMware исправила четыре уязвимости безопасности в этом средстве анализа журналов, две из которых являются критическими и позволяют неавторизованной стороне удалённо выполнять код. Обе уязвимости помечены как критические с базовыми оценками Для просмотра ссылки Войди
Одна из них (CVE-2022-31706) представляет собой уязвимость обхода каталогов, которая может быть использована для внедрения файлов в операционную систему. А вторая (CVE-2022-31704) представляет собой уязвимость управления доступом.
VMware также устранила уязвимость десериализации (CVE-2022-31710), вызывающую отказ системы, а также уязвимость раскрытия информации (CVE-2022-31711), которая может использоваться для доступа к конфиденциальным данным.
Заявление Horizon 3 в Twitter 26 января команда Horizon3 предупредила администраторов VMware, что им удалось создать эксплойт, который объединяет три из четырех уязвимостей, уже исправленных VMware, для удаленного выполнения кода от имени root.
Все уязвимости можно использовать в конфигурации устройств VMware vRealize Log Insight по умолчанию. Эксплойт можно использовать для получения начального доступа к сетям организаций (через устройства, подключенные к Интернету) и для перемещения по сети с сохраненными учетными данными.
Днем позже Horizon3 опубликовали сообщение в блоге, содержащее дополнительную информацию, в том числе список индикаторов компрометации (IoC), которые специалисты могут использовать для обнаружения признаков использования в своих сетях.
С вышеупомянутым экплойтом злоумышленники могут получить конфиденциальную информацию из журналов на хостах Log Insight, включая ключи API и токены сеанса, которые могут помочь взломать дополнительные системы и скомпрометировать среду ещё больше.
Эксплойт VMware vRealize Log Insight unauth RCE Джеймс Хорсман, исследователь Horizon3 сообщил, что в Интернете сейчас насчитывается всего 45 уязвимых устройств. Это относительно немного. Такое количество вполне ожидаемо, поскольку VMware vRealize Log Insight предназначена для внутреннего доступа к сетям конкретных организаций. Подключится извне обычно не предоставляется возможным. Однако нередко киберпреступники используют уязвимости в уже скомпрометированных сетях, чтобы расширить вышеупомянутый доступ.
В мае 2022 года Horizon3 выкладывала эксплойт для CVE-2022-22972, критической уязвимости обхода аутентификации, затрагивающей несколько продуктов VMware и позволяющей хакерам получать права администратора.
- Источник новости
- www.securitylab.ru