VMware, şirket tarafından ilk kez 7 Haziran’da açıklanan bir güvenlik açığından yararlanıldığını öğrendiğini duyurdu.
Şirketin danışmanlığı üç güvenlik açığını kapsıyordu: CVE-2023-20887, CVE-2023-20888 ve CVE-2023-20889.
20 Haziran’da VMware, danışma belgesine “CVE-2023-20887 istismarının vahşi ortamda meydana geldiğini doğruladığını” ekledi.
İstismar, Summoning Team tarafından bu blog gönderisinde açıklanmıştır.
Gönderi, CVE-2023-20887’nin VMware Aria Operations for Networks’te (önceden vRealize Network Insight olarak biliniyordu) açıklandığını ve “kimliği doğrulanmamış saldırganlar tarafından istismar edilebilecek uzaktan kod yürütmeye (RCE) yol açan iki sorun zincirini içerdiğini” açıklıyor. ”
Sinsinology, GitHub’da yayınlanan bir kavram kanıtlamasında şunları söyledi: “Ağlar için VMWare Aria Operations (vRealize Network Insight), Apache Thrift RPC arabirimi aracılığıyla kullanıcı girişini kabul ederken komut enjeksiyonuna karşı savunmasızdır.”
“Bu güvenlik açığı, kimliği doğrulanmamış uzak bir saldırganın temeldeki işletim sisteminde kök kullanıcı olarak rasgele komutlar yürütmesine olanak tanır.
Gönderi, başarılı bir saldırganın etkilenen sistemde kök erişimi elde ettiğini söyleyerek, “RPC arayüzü, atlanabilen bir ters proxy tarafından korunuyor” diye devam etti.
VMware, ürünü güvenlik açığına karşı yamaladı.