VMware ha emesso un avviso ai clienti riguardo alla disponibilità del codice di exploit per una vulnerabilità critica nell’applicazione VMware Aria Operations for Logs. Questo strumento è utilizzato dagli amministratori per gestire grandi volumi di log di applicazioni e infrastrutture in ambienti di dimensioni considerevoli.
Il difetto in questione (CVE-2023-20864) riguarda una debolezza nella deserializzazione, che è stata corretta ad aprile. Tale vulnerabilità consente agli attaccanti non autenticati di ottenere l’esecuzione remota su dispositivi non aggiornati.
Sfruttare con successo questa vulnerabilità permette agli attaccanti di eseguire codice arbitrario con privilegi di root, attraverso attacchi a bassa complessità che non richiedono l’interazione dell’utente.
VMware ha confermato la pubblicazione del codice di exploit per CVE-2023-20864 in un aggiornamento del suo avviso di sicurezza iniziale. L’azienda ha sottolineato che si tratta di un problema critico che dovrebbe essere affrontato immediatamente, seguendo le istruzioni riportate nell’advisory.
Nell’aprile scorso, VMware ha rilasciato anche degli aggiornamenti di sicurezza per risolvere una vulnerabilità di iniezione di comandi meno grave (CVE-2023-20865). Questa vulnerabilità consentirebbe ad attaccanti remoti con privilegi amministrativi di eseguire comandi arbitrari come root su dispositivi vulnerabili.
Entrambe le vulnerabilità sono state risolte con il rilascio di VMware Aria Operations for Logs 8.12. Fortunatamente, al momento non sono emerse prove di sfruttamento di queste vulnerabilità in attacchi.
Difetti di VMware Aria Operations sotto attacco
Recentemente, VMware ha anche emesso un avviso riguardante un bug critico (CVE-2023-20887) corretto in VMware Aria Operations for Networks (precedentemente noto come vRealize Network Insight). Questa vulnerabilità consente l’esecuzione di comandi remoti come utente root ed è attivamente sfruttata negli attacchi.
L’agenzia statunitense CISA ha incluso questa falla nella sua lista di vulnerabilità note sfruttate e ha ordinato alle agenzie federali di applicare gli aggiornamenti di sicurezza entro il 13 luglio.
Alla luce di queste informazioni, si consiglia vivamente agli amministratori di applicare tempestivamente le patch per CVE-2023-20864 come precauzione contro possibili attacchi futuri.
Anche se il numero di istanze di VMware vRealize esposte online è relativamente basso, ciò è coerente con il design previsto di queste appliance, che sono principalmente utilizzate per l’accesso alla rete interna all’interno delle organizzazioni.
Tuttavia, è importante notare che gli aggressori spesso sfruttano le vulnerabilità presenti nei dispositivi all’interno di reti compromesse. Pertanto, anche le appliance VMware correttamente configurate che rimangono vulnerabili possono diventare obiettivi interessanti all’interno delle infrastrutture delle organizzazioni prese di mira.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!