Los investigadores de seguridad de Horizon3 han publicado un código de prueba de concepto (PoC) para una cadena de vulnerabilidades de VMware vRealize Log Insight que permite a los atacantes obtener la ejecución remota de código en dispositivos sin parches.
VMware parchó cuatro vulnerabilidades de seguridad en su herramienta de análisis de registros vRealize la semana pasada, dos de las cuales son críticas y permiten a atacantes remotos ejecutar código en dispositivos comprometidos.
Ambos están etiquetados como de gravedad crítica con puntajes base de CVSS de 9.8/10 y pueden explotarse como parte de ataques de baja complejidad que no requieren la interacción del usuario.
Hoy temprano, Horizon3 publicó el exploit PoC y explicó que el exploit RCE «abusa de los diversos puntos finales de Thrift RPC para lograr una escritura de archivo arbitraria».
«Esta vulnerabilidad es fácil de explotar, sin embargo, requiere que el atacante tenga alguna configuración de infraestructura para servir cargas maliciosas», dijeron los investigadores.
«Además, dado que es poco probable que este producto esté expuesto a Internet, es probable que el atacante ya haya establecido un punto de apoyo en otro lugar de la red. Esta vulnerabilidad permite la ejecución remota de código como root, lo que esencialmente le da al atacante un control completo sobre el sistema».
Si bien solo hay unas pocas docenas de instancias expuestas públicamente en Internet, según los datos de Shodan, esto es de esperar dado que los dispositivos VMware vRealize Log Insight están diseñados para acceder desde dentro de la red de una organización.
Sin embargo, no es raro que los atacantes exploten vulnerabilidades en redes ya comprometidas para el movimiento lateral, lo que convierte a los dispositivos VMware vulnerables en objetivos internos valiosos.
Si bien no hay informes públicos de ataques que aprovechen esta cadena de exploits ni intentos de explotarlos en la naturaleza , es probable que los actores de amenazas ingeniosos y motivados se muevan rápidamente para adoptar el exploit RCE de Horizon3 o crear sus propias versiones personalizadas.
El año pasado, los investigadores de Horizon3 también lanzaron un exploit para CVE-2022-22972 , una falla crítica de seguridad de omisión de autenticación que afecta a múltiples productos de VMware y permite que un actor malicioso obtenga privilegios de administrador en instancias sin parches.
Fuente: https://www.bleepingcomputer.com
