Sanallaştırma hizmetleri sağlayıcısı VMware sahip olmak alarm verdi vahşi ortamda yararlanılan bir VMware kritik komut enjeksiyon güvenlik açığı tespit edildi.
VMware kritik komut ekleme güvenlik açığı olarak tanımlanan CVE-2023-20887önceden vRealize Network Insight olarak bilinen Aria Operations for Networks içindedir.
20 Haziran’da paylaşılan bir güncellemede VMware, VMware kritik komut enjeksiyon güvenlik açığının gerçek dünya saldırılarında silah haline getirildiğini doğruladı. Ancak, istismarla ilgili belirli ayrıntılar açıklanmadı.
Şirket yakın zamanda, ağ erişimine sahip kötü niyetli bir aktörün bir komut enjeksiyon saldırısı gerçekleştirmesini ve böylece uzaktan kod yürütmesini sağlayan VMware kritik komut enjeksiyon güvenlik açığını yamaladı.
VMware kritik komut enjeksiyon güvenlik açığından yararlanıldı
Güvenlik açığıyla ilgili VMware güncellemesi, “VMware, CVE-2023-20887’nin kötüye kullanımının vahşi ortamda gerçekleştiğini onayladı” dedi.
“Aria Operations for Networks, bir komut enjeksiyon güvenlik açığı içeriyor. VMware, bu sorunun ciddiyetini, maksimum CVSSv3 taban puanı 9,8 olan kritik önem derecesi aralığında değerlendirdi.”
Güvenlik açığı, VMware Aria Operations Networks sürüm 6.x’i etkiler ve 7 Haziran 2023’te kullanıma sunulan 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 ve 6.10 sürümleri dahil olmak üzere en son sürümlerde giderilmiştir. .
Bu açıklama, Mandiant tarafından VMware Tools’daki (CVE-2023-20867) UNC3886 olarak bilinen şüpheli bir Çinli aktör tarafından.
Bu aktör, Windows ve Linux ana bilgisayarlarında arka kapılar oluşturmak için güvenlik açığından yararlandı.
Potansiyel riskleri azaltmak için VMware, Aria Operations for Networks kullanıcılarına mevcut en son sürüme derhal güncelleme yapmalarını tavsiye etti.
VMware güvenlik açığı istismarı devam ediyor
VMware geçen hafta, CVE-2023-20867 olarak adlandırılan ve bir kimlik doğrulama atlama güvenlik açığı içeren kritik bir kusuru ortaya çıkaran bir güvenlik danışma belgesi yayınladı.
Bu güvenlik açığı, “tamamen güvenliği ihlal edilmiş bir ESXi ana bilgisayarının, VMware Tools’un ana bilgisayardan konuğa işlemlerin kimliğini doğrulayamamasına neden olmasına” olanak tanıdığından, konuk sanal makinelerin gizliliği ve bütünlüğü için önemli bir risk oluşturmaktadır.
Mandiant tarafından yürütülen araştırma bu kusurun sömürülme sürecine ışık tutmuştur.
CVE-2023-20867’den yararlanmak için saldırganın ESXi ana bilgisayarına ayrıcalıklı hesap erişimine sahip olması ve hedeflenen konuk makinede VMware Tools yazılım yönetim uygulamasının kurulu olması gerekir.
Saldırgan gerekli erişimi elde ettikten sonra, CVE-2023-20867, güvenliği ihlal edilmiş bir ESXi ana bilgisayarında kimlik doğrulama gerektirmeden ayrıcalıklı eylemler yürütmesine olanak tanır.
Bununla ilgili olarak Mandiant, “CVE-2023-20867’den başarıyla yararlanıldığında varsayılan olarak hiçbir günlük kaydı olayının oluşturulmadığının” altını çizdi. Olayların kaydedilmemesi, olay müdahale sürecinde savunucular için önemli zorluklar yaratabilir.
VMware Tools’ta bulunan kimlik doğrulama atlama güvenlik açığı, savunucuların olaya müdahale yetenekleri üzerindeki potansiyel etkiye ilişkin endişeleri artırıyor.
Şirket, 6 Haziran’da Aria Operations for Networks’teki (CVE-2023-20887 dahil) güvenlik açıkları için güncellemeler yayınladı.
Kritik ile yüksek önem düzeyi arasında değişen bu güvenlik açıkları, bilgisayar korsanlarının kodları uzaktan çalıştırmasına ve sistem verilerini çalmasına olanak tanıyordu. bildirildi.
VMware ve popülerlik felaketi
Her zaman olduğu gibi popülerlik, VMware’i tehdit aktörlerinin birincil hedefi haline getirdi.
Bu özel VMware kritik komut enjeksiyon güvenlik açığının kötüye kullanılması, Log4j güvenlik açığını içeren kötü şöhretli VMware Horizon sunucularını içeren uzun bir listeye muhtemelen yalnızca bir ek olacaktır.
VMware’in teknolojileri, küçük işletmelerden büyük çok uluslu şirketlere kadar her büyüklükteki işletme tarafından geniş çapta benimsenmiştir.
Çözümleri, kuruluşların maliyetleri düşürürken ve BT operasyonlarını basitleştirirken verimliliği, ölçeklenebilirliği ve çevikliği geliştirmesine yardımcı olur.
Dünyanın dört bir yanındaki kuruluşlar, tehdit aktörleri iki yıllık bir bilgisayar güvenlik açığından yararlanmaya başladı sanal makineleri izlemek için kullanılan popüler VMware ESXi hipervizörlerinde.
Güncellemeler, kullanıcıları aşağıdakileri içeren VMware’in temel ürünleri konusunda uyarmalıdır:
VMware vSphere: Kuruluşların sanal makineler oluşturmasına ve yönetmesine izin vererek verimli sunucu konsolidasyonu ve kaynak tahsisi sağlayan bir amiral gemisi sanallaştırma platformu.
VMware ESXi: Sanal makineleri fiziksel sunucularda çalıştırmak için güvenli ve güvenilir bir sanallaştırma katmanı sağlayan çıplak donanım hiper yönetici.
VMware vCenter Sunucusu: Yöneticilerin, tedarik ve performans yönetimi de dahil olmak üzere sanal altyapılarını kontrol etmelerini ve izlemelerini sağlayan merkezi bir yönetim platformu.
VMware Bulut Vakfı: Eksiksiz bir özel bulut çözümü sunmak için bilgi işlem, depolama, ağ ve yönetim hizmetlerini birleştiren entegre bir yazılım tanımlı veri merkezi (SDDC) platformu.
VMware NSX: Sanal ağların oluşturulmasını sağlayan ve sanallaştırılmış ortamlar için gelişmiş güvenlik özellikleri sağlayan bir ağ sanallaştırma ve güvenlik platformu.