VMware a mis à jour un avis de sécurité publié il y a deux semaines pour avertir les clients qu’une vulnérabilité critique désormais corrigée permettant l’exécution de code à distance est activement exploitée dans des attaques.
« VMware a confirmé que l’exploitation de CVE-2023-20887 s’est produite dans la nature », a déclaré la société aujourd’hui.
Cet avis fait suite à plusieurs avertissements de la société de cybersécurité GreyNoise, le premier émis une semaine après que VMware a corrigé la faille de sécurité le 15 juin et seulement deux jours après que le chercheur en sécurité Sina Kheirkhah a partagé les détails techniques et le code d’exploitation de preuve de concept.
« Nous avons observé une tentative d’analyse de masse utilisant le code Proof-Of-Concept mentionné ci-dessus dans le but de lancer un shell inversé qui se connecte à un serveur contrôlé par un attaquant afin de recevoir d’autres commandes », a déclaré Jacob Fisher, analyste de recherche chez GreyNoise.
Le PDG de GreyNoise, Andrew Morris, a également alerté les administrateurs VMware de cette activité malveillante en cours plus tôt dans la journée, ce qui a probablement incité VMware à mettre à jour son avis.
GreyNoise fournit désormais une balise dédiée pour aider à garder une trace des adresses IP observées lors de la tentative d’exploitation de CVE-2023-20887.
La vulnérabilité affecte VMware Aria Operations for Networks (anciennement vRealize Network Insight), un outil d’analyse de réseau qui aide les administrateurs à optimiser les performances du réseau ou à gérer les déploiements VMware et Kubernetes.
Les pirates non authentifiés peuvent exploiter cette faille d’injection de commande dans des attaques peu complexes qui ne nécessitent pas d’interaction de l’utilisateur.
« VMWare Aria Operations for Networks (vRealize Network Insight) est vulnérable à l’injection de commandes lors de l’acceptation d’une entrée utilisateur via l’interface Apache Thrift RPC », a expliqué Kheirkhah dans une analyse des causes profondes du bogue de sécurité.
« Cette vulnérabilité permet à un attaquant distant non authentifié d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent en tant qu’utilisateur root. »
Aucune solution de contournement n’est disponible pour supprimer le vecteur d’attaque pour CVE-2023-20887, les administrateurs doivent donc corriger toutes les installations sur site de VMware Aria Operations Networks 6.x pour s’assurer qu’elles sont protégées contre les attaques en cours.
Une liste complète des correctifs de sécurité pour toutes les versions vulnérables d’Aria Operations for Networks est disponible sur le site Web Customer Connect de VMware.