Белые хакеры скоро выложат в открытый доступ эксплойт VMware vRealize Log RCE

Исследователи безопасности из команды Horizon3 — это компания, которая занимается разработкой и производством программного обеспечения для систем кибербезопасности. Они создают продукты, которые помогают компаниям защищаться от киберугроз и обнаруживать их на ранней стадии. Их продукты включают в себя системы антивирусной защиты, детекторы вторжений, мониторинг сетей и другие решения, которые помогают защитить корпоративные сети и данные от киберпреступности. Они также предлагают консультационные услуги и обучение, чтобы помочь клиентам улучшить защиту информации.

» data-html=»true» data-original-title=»Horizon3″>Horizon3 на следующей неделе выложат в сеть Эксплойт (от англ. Exploit — означает «использовать что-то в своих интересах») — компьютерная программа, фрагмент программного кода или последовательность команд, которые используют ошибку или уязвимость для проведения атак на компьютерное ПО, аппаратное обеспечение или электронные устройства. Целью атаки является получение контроля над компьютерной системой, повышения привилегий или атака типа «отказ в обслуживании» (DoS или связанная с ней DDoS).
Эксплойты обычно классифицируются и называются по: типу уязвимости, которую они используют; являются ли они локальными или удаленными; а также результатом запуска эксплойта (например, EoP, DoS, спуфинг). Одной из схем, предлагающих эксплойты нулевого дня, является Exploit-as-a-Service.

» data-html=»true» data-original-title=»Эксплойт»>эксплойт, нацеленный на цепочку уязвимостей, для получения возможности удаленного выполнения кода на устройствах с VMware — поставщик программного обеспечения для виртуализации и облачных вычислений, базирующийся в Пало-Альто, Калифорния. Компания VMware, основанная в 1998 году, является дочерней компанией Dell Technologies. Корпорация EMC первоначально приобрела VMware в 2004 году; Позже EMC была приобретена Dell Technologies в 2016 году. VMware основывает свои технологии виртуализации на своем гипервизоре ESX/ESXi без операционной системы с архитектурой x86.

» data-html=»true» data-original-title=»VMware»>VMware vRealize Log Insight.

Известная сейчас под названием VMware Aria Operations for Logs, программа существенно упрощает администраторам VMware анализ и управление системными журналами.

24 января VMware исправила четыре уязвимости безопасности в этом средстве анализа журналов, две из которых являются критическими и позволяют неавторизованной стороне удалённо выполнять код. Обе уязвимости помечены как критические с базовыми оценками Общая система оценки уязвимостей (также известная как CVSS Scores) обеспечивает числовое (0-10) представление серьезности уязвимости информационной безопасности. Оценки CVSS обычно используются группами информационной безопасности как часть программы управления уязвимостями, чтобы обеспечить точку сравнения между уязвимостями и определить приоритетность устранения уязвимостей.

» data-html=»true» data-original-title=»CVSS»>CVSS 9,8 / 10. Они могут быть использованы злоумышленниками в атаках низкой сложности, которые не требуют аутентификации.

Одна из них (CVE-2022-31706) представляет собой уязвимость обхода каталогов, которая может быть использована для внедрения файлов в операционную систему. А вторая (CVE-2022-31704) представляет собой уязвимость управления доступом.

VMware также устранила уязвимость десериализации (CVE-2022-31710), вызывающую отказ системы, а также уязвимость раскрытия информации (CVE-2022-31711), которая может использоваться для доступа к конфиденциальным данным.

Заявление Horizon 3 в Twitter

​26 января команда Horizon3 предупредила администраторов VMware, что им удалось создать эксплойт, который объединяет три из четырех уязвимостей, уже исправленных VMware, для удаленного выполнения кода от имени root.

Все уязвимости можно использовать в конфигурации устройств VMware vRealize Log Insight по умолчанию. Эксплойт можно использовать для получения начального доступа к сетям организаций (через устройства, подключенные к Интернету) и для перемещения по сети с сохраненными учетными данными.

Днем позже Horizon3 опубликовали сообщение в блоге, содержащее дополнительную информацию, в том числе список индикаторов компрометации (IoC), которые специалисты могут использовать для обнаружения признаков использования в своих сетях.

С вышеупомянутым экплойтом злоумышленники могут получить конфиденциальную информацию из журналов на хостах Log Insight, включая ключи API и токены сеанса, которые могут помочь взломать дополнительные системы и скомпрометировать среду ещё больше.

Эксплойт VMware vRealize Log Insight unauth RCE

​Джеймс Хорсман, исследователь Horizon3 сообщил, что в Интернете сейчас насчитывается всего 45 уязвимых устройств. Это относительно немного. Такое количество вполне ожидаемо, поскольку VMware vRealize Log Insight предназначена для внутреннего доступа к сетям конкретных организаций. Подключится извне обычно не предоставляется возможным. Однако нередко киберпреступники используют уязвимости в уже скомпрометированных сетях, чтобы расширить вышеупомянутый доступ.

В мае 2022 года Horizon3 выкладывала эксплойт для CVE-2022-22972, критической уязвимости обхода аутентификации, затрагивающей несколько продуктов VMware и позволяющей хакерам получать права администратора.

Источник