VMware’in Aria Operations for Networks analiz aracındaki (önceden vRealize Network Insight olarak biliniyordu) kritik bir SSH kimlik doğrulama atlama güvenlik açığı için kavram kanıtı yararlanma kodu yayımlandı.
Kusur (CVE-2023-34039 olarak izleniyor) ProjectDiscovery Research’teki güvenlik analistleri tarafından bulundu ve Çarşamba günü 6.11 sürümünün yayınlanmasıyla VMware tarafından yamandı.
Başarılı bir şekilde yararlanma, uzaktaki saldırganların yama uygulanmamış cihazlarda SSH kimlik doğrulamasını atlamasına ve şirketin “benzersiz kriptografik anahtar oluşturma eksikliği” olarak tanımladığı durum nedeniyle kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda aracın komut satırı arayüzüne erişmesine olanak tanır.
VMware, kusuru azaltmak için bu destek belgesinde bulunan Aria Operations for Networks 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10 sürümleri için güvenlik yamalarının uygulanmasını “şiddetle önerir”.
Bugün VMware, kritik güvenlik hatasını açıkladıktan iki gün sonra CVE-2023-34039 yararlanma kodunun çevrimiçi olarak yayınlandığını doğruladı.
Konsept kanıtı (PoC) istismarı, Aria Operations for Networks’ün 6.0’dan 6.10’a kadar olan sürümlerini hedefliyor ve Summoning Team güvenlik açığı araştırmacısı Sina Kheirkhah tarafından geliştirilip yayınlandı.
Kheirkhah, sorunun temel nedeninin VMware’in SSH yetkili anahtarlarını yeniden oluşturmayı unutmasından sonra kalan sabit kodlu SSH anahtarları olduğunu söyledi.
Kheirkhah, “VMware’in Aria Operations for Networks’ün her sürümünün benzersiz bir SSH anahtarı var. Tamamen işlevsel bir güvenlik açığı oluşturmak için bu ürünün farklı sürümlerindeki tüm anahtarları toplamam gerekiyordu” dedi.
VMware ayrıca bu hafta, saldırganların hedeflenen uygulamaya yönetici erişimi elde ettikten sonra uzaktan kod yürütmesine olanak tanıyan rastgele bir dosya yazma güvenlik açığını da (CVE-2023-20890) yamaladı (CVE-2023-34039 PoC, saldırganların başarılı bir şekilde root izinleri almasına izin verebilir) saldırılar).
Temmuz ayında VMware, müşterilerini, Nisan ayında yamalanan VMware Aria Operations for Logs analiz aracındaki kritik bir RCE kusuru (CVE-2023-20864) için yararlanma kodunun çevrimiçi olarak yayınlandığı konusunda uyardı.
Bir ay önce şirket, uzaktan komut yürütme saldırılarına yol açabilecek başka bir Network Insight kritik hatasının (CVE-2023-20887) aktif olarak kullanılmasına ilişkin başka bir uyarı yayınladı.
CISA, ABD federal kurumlarına, sistemlerini CVE-2023-20887’yi bilinen istismar edilen güvenlik açıkları listesine ekledikten sonra 13 Temmuz’a kadar yamalamalarını emretti.
Bunun ışığında, yöneticilerin, olası gelen saldırılara karşı önleyici bir önlem olarak Aria Operations for Networks cihazlarını mümkün olan en kısa sürede en son sürüme güncellemeleri şiddetle tavsiye edilir.
Çevrimiçi kullanıma sunulan VMware vRealize örneklerinin sayısı nispeten düşük olsa da bu, bu cihazların dahili ağlarda kullanım amacına uygundur.