VMware a corrigé une vulnérabilité de sécurité critique de vRealize Log Insight qui permet à des attaquants distants d’obtenir une exécution à distance sur des appliances vulnérables.
Désormais connu sous le nom de VMware Aria Operations for Logs, cet outil d’analyse de journaux permet de gérer des téraoctets de journaux d’application et d’infrastructure dans des environnements à grande échelle.
Le bogue (suivi sous le nom de CVE-2023-20864) est décrit comme une vulnérabilité de désérialisation qui peut être exploitée pour exécuter du code arbitraire en tant que root sur des systèmes compromis.
CVE-2023-20864 peut être exploité à distance par des acteurs malveillants non authentifiés dans des attaques peu complexes qui ne nécessitent pas d’interaction de l’utilisateur.
Aujourd’hui, VMware a également publié des mises à jour de sécurité pour une deuxième faille de sécurité (suivie sous le nom de CVE-2023-20865) qui permet à des attaquants distants disposant de privilèges administratifs d’exécuter des commandes arbitraires en tant que root.
Ces deux vulnérabilités ont été corrigées avec la sortie de VMware Aria Operations for Logs 8.12. Il n’y a aucune preuve que ces bogues de sécurité aient été exploités dans la nature avant d’être corrigés.
« CVE-2023-20864 est un problème critique et doit être corrigé immédiatement conformément aux instructions de l’avis. Il convient de souligner que seule la version 8.10.2 est affectée par cette vulnérabilité (CVE-2023-20864) », a déclaré VMware. .
« Les autres versions de VMware Aria Operations for Logs (anciennement vRealize Log Insight) sont affectées par CVE-2023-20865, mais cela a un score CVSSv3 inférieur de 7,2. »
Deux autres bogues vRealize critiques corrigés en janvier
En janvier, la société a corrigé une autre paire de vulnérabilités critiques (CVE-2022-31706 et CVE-2022-31704) affectant le même produit et permettant l’exécution de code à distance, ainsi que des failles pouvant être exploitées pour le vol d’informations (CVE-2022- 31711) et les attaques par déni de service (CVE-2022-31710).
Une semaine plus tard, les chercheurs en sécurité de l’équipe d’attaque d’Horizon3 ont publié un code de preuve de concept (PoC) pour enchaîner trois des quatre bogues afin d’aider les attaquants à exécuter du code à distance en tant que root sur des appliances VMware vRealize compromises.
Bien que seules quelques dizaines d’instances de VMware vRealize soient exposées en ligne, il faut s’y attendre, car ces appliances sont conçues uniquement pour être accessibles à partir des réseaux internes des organisations.
Cependant, il n’est pas rare que des attaquants exploitent des vulnérabilités affectant des appareils dans des réseaux déjà compromis, faisant des appliances VMware correctement configurées mais vulnérables des cibles internes précieuses.