VMware’in vRealize Log Insight platformunu etkileyen üç güvenlik açığı, artık siber suçluların onları silah haline getirmek için takip edebilecekleri bir harita sunan, halka açık açıklardan yararlanma kodunun dolaşımına sahip. Bunlar, iki kritik kimliği doğrulanmamış uzaktan kod yürütme (RCE) hatasını içerir.
VMware’e göre, adını Aria Operations olarak değiştiren vRealize Log Insight platformu, “her ortamdaki altyapı ve uygulamalar için” akıllı günlük yönetimi sağlıyor ve BT departmanlarının fiziksel, sanal ve üçüncü taraf genişletilebilirlik dahil olmak üzere bulut ortamları. Genellikle bir cihaza yüklenen platform, bir kuruluşun BT ayak izinin en hassas alanlarına yüksek düzeyde ayrıcalıklı erişime sahip olabilir.
Bu hafta genel kullanım kodunu derinlemesine inceleyen Horizon.ai araştırmacısı James Horseman, “Log Insight ana bilgisayarına erişim elde etmek, onunla entegre olan uygulamaların türüne bağlı olarak bir saldırgana bazı ilginç olanaklar sağlıyor” dedi. “Genellikle, alınan günlükler diğer hizmetlerden hassas veriler içerebilir ve bir saldırının oturum belirteçlerini, API anahtarlarını ve kişisel olarak tanımlanabilir bilgileri toplamasına izin verebilir. Bu anahtarlar ve oturumlar, saldırganın diğer sistemlere dönmesine ve ortamı daha fazla tehlikeye atmasına izin verebilir.”
Trend Micro’nun güvenlik açıklarını bildiren Zero Day Initiative’de (ZDI) tehdit farkındalığı başkanı Dustin Childs, özellikle açıklardan yararlanmanın önündeki engelin – diğer bir deyişle erişim karmaşıklığının – düşük olması nedeniyle, kuruluşların riski dikkate alması gerektiğini söylüyor.
Dark Reading’e “Bu araçla merkezi günlük yönetimi yapıyorsanız, bu, kuruluşunuz için önemli bir risk teşkil ediyor” diyor. “Yamayı VMware’den mümkün olan en kısa sürede test etmenizi ve dağıtmanızı öneririz.”
VMware vRealize Log Insight Hatalarının İçinde
Orijinal VMware’e göre, iki kritik sorun CVSS ölçeğinde 10 üzerinden 9,8 önem puanı taşıyor ve “kimliği doğrulanmamış, kötü niyetli bir aktörün etkilenen bir cihazın işletim sistemine dosya enjekte etmesine” izin verebilir, bu da orijinal VMware’e göre danışma
Biri (CVE-2022-31706), bir dizin geçişi güvenlik açığıdır; diğeri (CVE-2022-31704), bozuk bir erişim denetimi güvenlik açığıdır.
Üçüncü kusur, kimliği doğrulanmamış kötü niyetli bir aktörün “güvenilmeyen verilerin serisini kaldırma işlemini uzaktan tetikleyerek hizmet reddine neden olabilecek” yüksek önem düzeyine sahip bir seri kaldırma güvenlik açığıdır (CVE-2022-31710, CVSS 7.5).
Tam Devralma için Hata Zinciri Oluşturma
Horizon.ai araştırmacıları, vahşi ortamda açıklardan yararlanma kodunu belirledikten sonra, üç sorunun birbirine zincirlenebileceğini keşfetti ve VMware’in bugün danışma kılavuzunu güncellemesini istedi.
“Bu [combined] güvenlik açığı [chain] istismar edilmesi kolaydır; ancak, saldırganın kötü amaçlı yüklere hizmet vermesi için bazı altyapı kurulumlarına sahip olması gerekir” diye yazdı Horseman. “Bu güvenlik açığı, kök olarak uzaktan kod yürütülmesine izin verir ve esasen bir saldırgana sistem üzerinde tam kontrol sağlar.”
Bununla birlikte, bir umut ışığı sundu: Ürün, dahili bir ağda kullanılmak üzere tasarlanmıştır; Shodan verilerinin, internette halka açık olarak ifşa edilen cihazların 45 örneğini ortaya çıkardığını kaydetti.
Ancak bu, zincirin içeriden kullanılamayacağı anlamına gelmez.
“Bu ürünün İnternet’e maruz kalması pek olası olmadığından, saldırgan muhtemelen ağda başka bir yerde bir dayanak noktası oluşturmuştur” dedi. “Bir kullanıcı güvenliğinin ihlal edildiğini belirlerse, bir saldırganın verdiği zararı belirlemek için ek araştırma yapılması gerekir.”
Üç hata ilk olarak geçen hafta sanallaştırma devi tarafından, kimlik doğrulaması olmadan veri toplamaya izin verebilecek orta düzeyde bir bilgi açıklama hatası (CVE-2022-31711, CVSS 5.3) içeren bir önbelleğin parçası olarak açıklandı. İkincisi henüz herkese açık bir istismar koduna sahip değil, ancak bu, özellikle hedef VMware tekliflerinin siber suçlular için ne kadar popüler olduğu göz önüne alındığında hızla değişebilir.
Yakında diğer sorunlardan da yararlanmanın birden fazla yolu olabilir. ZDI’dan Childs, “Güvenlik açıklarını göstermek için kavram kanıtı kodumuz var” diyor. “Başkaları bir istismarı kısa sürede çözerse şaşırmayacağız.”
Kuruluş Nasıl Korunur?
Yöneticilerin kuruluşlarını korumak için VMware’in yamalarını uygulamaları veya yayınlanmış bir geçici çözümü mümkün olan en kısa sürede uygulamaları istenir. Horizon.ai ayrıca kuruluşların herhangi bir saldırıyı izlemesine yardımcı olmak için uzlaşma göstergeleri (IoC’ler) yayınladı.
Ayrıca, “merkezi günlük yönetimi için vRealize veya Aria Operations kullanıyorsanız, o sistemin ne tür teşhire sahip olduğunu kontrol etmeniz gerekir” diye tavsiyede bulunuyor Childs. “İnternet’e bağlı mı? Platforma kimlerin erişebileceğine ilişkin IP kısıtlamaları var mı? Bunlar, ilk adımınız olması gereken yama uygulamalarının ötesinde göz önünde bulundurulması gereken ek öğelerdir. Saldırganların bir yer edinmesi için hedef.”