Un code d’exploitation de preuve de concept (PoC) a été mis à disposition pour une faille critique récemment révélée et corrigée affectant VMware Aria Operations for Networks (anciennement vRealize Network Insight).
La faille, identifiée comme CVE-2023-34039, est notée 9,8 sur un maximum de 10 en termes de gravité et a été décrite comme un cas de contournement d’authentification en raison d’un manque de génération de clé cryptographique unique.
« Un acteur malveillant disposant d’un accès réseau à Aria Operations for Networks pourrait contourner l’authentification SSH pour accéder à la CLI d’Aria Operations for Networks », a déclaré VMware plus tôt cette semaine.
Sina Kheirkhah de Summoning Team, qui a publié le PoC suite à une analyse du correctif par VMware, a déclaré que la cause première pouvait être attribuée à un script bash contenant une méthode nommée rafraîchir_ssh_keys(), qui est responsable de l’écrasement des clés SSH actuelles pour le support et utilisateurs Ubuntu dans le fichierauthorized_keys.
« Une authentification SSH est en place ; cependant, VMware a oublié de régénérer les clés », a déclaré Kheirkhah. « Aria Operations for Networks de VMware avait codé en dur ses clés de la version 6.0 à 6.10. »
Les derniers correctifs de VMware corrigent également CVE-2023-20890, une vulnérabilité d’écriture de fichier arbitraire affectant Aria Operations for Networks qui pourrait être exploitée par un adversaire disposant d’un accès administratif pour écrire des fichiers dans des emplacements arbitraires et réaliser l’exécution de code à distance.
En d’autres termes, un acteur malveillant pourrait exploiter le PoC pour obtenir un accès administrateur à l’appareil et exploiter CVE-2023-20890 pour exécuter des charges utiles arbitraires, ce qui rend crucial que les utilisateurs appliquent les mises à jour pour se protéger contre les menaces potentielles.
La publication du PoC coïncide avec la publication par le géant de la technologie de virtualisation de correctifs pour une faille de contournement de signature de jeton SAML de haute gravité (CVE-2023-20900, score CVSS : 7,5) sur plusieurs versions Windows et Linux de VMware Tools.
« Un acteur malveillant disposant d’un positionnement réseau man-in-the-middle (MITM) dans le réseau de machines virtuelles peut être en mesure de contourner la vérification de la signature du jeton SAML pour effectuer des opérations invité VMware Tools », a déclaré la société dans un avis publié jeudi.
Peter Stöckli de GitHub Security Lab a été crédité d’avoir signalé la faille, qui affecte les versions suivantes :
- VMware Tools pour Windows (12.xx, 11.xx, 10.3.x) – Corrigé dans 12.3.0
- VMware Tools pour Linux (10.3.x) – Corrigé dans 10.3.26
- Implémentation open source de VMware Tools pour Linux ou open-vm-tools (12.xx, 11.xx, 10.3.x) – Corrigé dans 12.3.0 (à distribuer par les fournisseurs Linux)
Ce développement intervient également alors que Fortinet FortiGuard Labs a mis en garde contre l’exploitation continue des vulnérabilités d’Adobe ColdFusion par des acteurs malveillants pour déployer des mineurs de cryptomonnaie et des robots hybrides tels que Satan DDoS (alias Lucifer) et RudeMiner (alias SpreadMiner), capables d’effectuer du cryptojacking et du déni distribué. Attaques de service (DDoS).
Une porte dérobée nommée BillGates (alias Setag) est également déployée, connue pour détourner des systèmes, voler des informations sensibles et lancer des attaques DDoS.
