Un code d’exploitation de validation de principe a été publié pour une vulnérabilité critique de contournement de l’authentification SSH dans l’outil d’analyse Aria Operations for Networks de VMware (anciennement connu sous le nom de vRealize Network Insight).
La faille (suivie comme CVE-2023-34039) a été trouvée par les analystes de sécurité de ProjectDiscovery Research et corrigée par VMware mercredi avec la sortie de la version 6.11.
Une exploitation réussie permet aux attaquants distants de contourner l’authentification SSH sur les appareils non corrigés et d’accéder à l’interface de ligne de commande de l’outil dans le cadre d’attaques peu complexes qui ne nécessitent pas d’interaction de l’utilisateur en raison de ce que l’entreprise décrit comme « un manque de génération de clé cryptographique unique ».
Pour atténuer la faille, VMware « recommande fortement » d’appliquer les correctifs de sécurité pour Aria Operations for Networks versions 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10 disponibles sur ce document de support.
Aujourd’hui, VMware a confirmé que le code d’exploitation CVE-2023-34039 a été publié en ligne, deux jours après la divulgation du bogue de sécurité critique.
L’exploit de preuve de concept (PoC) cible toutes les versions d’Aria Operations for Networks de 6.0 à 6.10, et il a été développé et publié par Sina Kheirkhah, chercheuse en vulnérabilités chez Summoning Team.
Kheirkhah a déclaré que la cause première du problème était les clés SSH codées en dur laissées après que VMware ait oublié de régénérer les clés autorisées SSH.
« Chaque version d’Aria Operations for Networks de VMware possède une clé SSH unique. Pour créer un exploit entièrement fonctionnel, j’ai dû collecter toutes les clés des différentes versions de ce produit », a déclaré Kheirkhah.
VMware a également corrigé cette semaine une vulnérabilité d’écriture de fichier arbitraire (CVE-2023-20890), qui permet aux attaquants d’exécuter du code à distance après avoir obtenu un accès administrateur à l’appliance ciblée (le PoC CVE-2023-34039 pourrait leur permettre d’obtenir les autorisations root après une réussite. attaques).
En juillet, VMware a averti ses clients qu’un code d’exploitation avait été publié en ligne pour une faille RCE critique (CVE-2023-20864) dans l’outil d’analyse VMware Aria Operations for Logs, corrigé en avril.
Un mois plus tôt, la société avait émis une autre alerte concernant l’exploitation active d’un autre bug critique de Network Insight (CVE-2023-20887) pouvant conduire à des attaques d’exécution de commandes à distance.
La CISA a ordonné aux agences fédérales américaines de corriger leurs systèmes contre CVE-2023-20887 d’ici le 13 juillet après l’avoir ajouté à sa liste de vulnérabilités exploitées connues.
À la lumière de cela, il est fortement recommandé aux administrateurs de mettre à jour leurs appliances Aria Operations for Networks vers la dernière version dès que possible, à titre préventif contre les attaques entrantes potentielles.
Bien que le nombre d’instances VMware vRealize exposées en ligne soit relativement faible, il correspond à l’utilisation prévue de ces appliances sur les réseaux internes.