VMware, uzaktaki saldırganların güvenlik açığı bulunan cihazlarda uzaktan yürütme elde etmesine olanak tanıyan kritik bir vRealize Log Insight güvenlik açığını ele aldı.
Artık VMware Aria Operations for Logs olarak bilinen bu günlük analiz aracı, büyük ölçekli ortamlarda terabaytlar değerinde uygulama ve altyapı günlüklerinin yönetilmesine yardımcı olur.
Hata (CVE-2023-20864 olarak izlenir), güvenliği ihlal edilmiş sistemlerde kök olarak rasgele kod çalıştırmak için kötüye kullanılabilen bir seri kaldırma güvenlik açığı olarak tanımlanır.
CVE-2023-20864, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıktaki saldırılarda kimliği doğrulanmamış tehdit aktörleri tarafından uzaktan kullanılabilir.
Bugün VMware, yönetici ayrıcalıklarına sahip uzak saldırganların root olarak rasgele komutlar yürütmesine olanak tanıyan ikinci bir güvenlik açığı (CVE-2023-20865 olarak izlenir) için güvenlik güncellemeleri de yayınladı.
Her iki güvenlik açığı da VMware Aria Operations for Logs 8.12’nin piyasaya sürülmesiyle giderildi. Bu güvenlik açıklarının yamalanmadan önce vahşi ortamda istismar edildiğine dair hiçbir kanıt yok.
VMware, “CVE-2023-20864 kritik bir sorundur ve danışma belgesindeki talimatlara göre hemen yama yapılmalıdır. Bu güvenlik açığından yalnızca 8.10.2 sürümünün etkilendiğinin vurgulanması gerekir (CVE-2023-20864),” dedi VMware. .
“Diğer sürümler VMware Aria Operations for Logs (eski adıyla vRealize Log Insight), CVE-2023-20865’ten etkilenir, ancak bunun CVSSv3 puanı 7,2 daha düşüktür.”
Ocak ayında yamalanan diğer iki kritik vRealize hatası
Ocak ayında şirket, aynı ürünü etkileyen ve uzaktan kod yürütülmesine izin veren başka bir çift kritik güvenlik açığını (CVE-2022-31706 ve CVE-2022-31704) ve ayrıca bilgi hırsızlığı için kullanılabilecek kusurları (CVE-2022-) ele aldı. 31711) ve hizmet reddi saldırıları (CVE-2022-31710).
Bir hafta sonra, Horizon3’ün Saldırı Ekibi ile güvenlik araştırmacıları, saldırganların güvenliği ihlal edilmiş VMware vRealize cihazlarında uzaktan kök olarak kod yürütmelerine yardımcı olmak için dört hatadan üçünü zincirlemek için kavram kanıtı (PoC) kodu yayınladı.
Yalnızca birkaç düzine VMware vRealize örneği çevrimiçi olarak açığa çıkarken, bu tür cihazlara yalnızca kuruluşların ağlarından erişilmek üzere tasarlandığından bu beklenebilir.
Bununla birlikte, saldırganların halihazırda güvenliği ihlal edilmiş ağlardaki cihazları etkileyen güvenlik açıklarından yararlanarak düzgün yapılandırılmış ancak savunmasız VMware cihazlarını değerli dahili hedefler haline getirmesi alışılmadık bir durum değildir.