Архив метки: VMware

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051)

3 комментария

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051)

Актуальные уязвимости VMware: RCE в vCenter Server (CVE-2023-34048) и обход аутентификации в Aria Operations for Logs (CVE-2023-34051).

🔴 RCE в vCenter Server (CVE-2023-34048). Злоумышленник с сетевым доступом к vCenter Server может потенциально получить RCE из-за out-of-bounds write уязвимости в реализации протокола DCERPC. CVSSv3 Base Score 9,8. Судя по CVSS вектору, сложность атаки низкая, аутентификация не нужна, взаимодействие с пользователем не требуется. Есть патчи (даже для EOL продуктов), workaround-а нет. Публичного POCа и признака эксплуатации вживую пока нет.

🟡 Обход аутентификации в Aria Operations for Logs (CVE-2023-34051). Неаутентифицированный злоумышленник может внедрить файлы в операционную систему уязвимого устройства, что может привести к RCE. Есть публичный PoC. Признаков эксплуатации вживую пока нет. Кажется в России этот продукт для управления логами встречается редко. Если в вашей практике попадался, ставьте посту 🐳.

RCE уязвимости VMware ESXi OpenSLP в активной эксплуатации (CVE-2021-21974, CVE-2020-3992)

Добавить комментарий

RCE уязвимости VMware ESXi OpenSLP в активной эксплуатации (CVE-2021-21974, CVE-2020-3992). Используются в шифровальщике ESXiArgs.

Массовые атаки ESXiArgs начались с 3 февраля. В первую очередь пострадали серверы VMware ESXi доступные из Интернет. Сообщают о как минимум 3000 пострадавших серверах. Есть оценки, что в Интернет выставлено более 80 000 (!) ESXi серверов. 🤩 Но, естественно, эта уязвимость касается вообще всех необновленных ESXi хостов, не только доступных из Интернет.

Сами VMware использование 0-day не нашли. В новостях пока пишут о двух старых уязвимостях OpenSLP. Это открытая реализация "Service Location Protocol", которая используется в ESXi.

CVE-2021-21974. В NVD с 24.02.2021. Публичный эксплоит с 03.06.2021

Уязвимые версии ESXi:
7.0 before ESXi70U1c-17325551
6.7 before ESXi670-202102401-SG
6.5 before ESXi650-202102101-SG

CVE-2020-3992. В NVD с 20.10.2020. Публичный эксплоит с 05.02.2021.

Уязвимые версии ESXi:
7.0 before ESXi70U1a-17119627
6.7 before ESXi670-202011301-SG
6.5 before ESXi650-202011401-SG

Нужно патчить. Если вообще никак, то отключать SLP (хотя есть сообщения, что некоторым это не помогло). Для одних версий ESXiArgs есть декриптор, для других нет, лучше не рассчитывать. Хороший повод проверить ваши бэкапы на случай, если всё же пошифруют. Дайте знать вашим VMware-админам! 😉

PS: Хороший пример как оно бывает. Так вот месяцами-годами может быть публичная инфа об уязвимости и какие-то PoC-и. А потом бабах - и понеслась. Не доводите до греха, патчитесь заранее и отказывайтесь от неподдерживаемых систем.

На днях вышел бюллетень CISA про эксплуатацию уязвимости Log4Shell (CVE-2021-44228) в некоторой американской государственной организации

Добавить комментарий

На днях вышел бюллетень CISA про эксплуатацию уязвимости Log4Shell (CVE-2021-44228) в некоторой американской государственной организации. В pdf бюллетене приводится подробное описание атаки. Ознакомился. Мне, конечно, было наиболее интересно собственно про Log4Shell и начальную эксплуатацию.

1. В какой организации произошел инцидент? Непонятно. Это одна из FCEB organizations. Это может быть всем известная NASA, а может быть какая-нибудь Commission of Fine Arts. Но по большей части организации в списке выглядят критично.

2. Когда нашли? В апреле 2022. Предположительное время компрометации - февраль 2022 года.

3. Как нашли? Через ретроспективный контроль трафика с помощью CISA-вской EINSTEIN IDS. Увидели ip-адрес ранее засветившийся в атаках использующих Log4Shell.

4. Как известно Log4Shell (CVE-2021-44228 заведена 10.12.2021) касается кучи продуктов, а что именно поломали? VMware Horizon. Патч вышел 16.12.2021. Детект у Tenable для этой уязвимости (без аутентификации) вышел 07.01.2022. CISA требовали зафиксить все Log4Shell уязвимости до 24.12.2021.

5. Исходя из таймлайна, в сроки CISA (7 дней по факту) уложиться было мало реально. Причем это нужно было сделать ещё до появления нормальных детектов. Но то, что не уложились даже за 1-2 месяца вплоть до успешной атаки злоумышленников это конечно неслабое нарушение. И раз такое в принципе было возможно, CISA видимо не особо контролирует VM процесс в подопечных FCEB организациях, а сроки устранения, которые они спускают через свой Known Exploited Vulnerabilities Catalog видимо по факту не выдерживаются.