0
0
Três vulnerabilidades de segurança que afetam a plataforma vRealize Log Insight da VMware agora têm código de exploração público circulando, oferecendo um mapa para os cibercriminosos seguirem para transformá-los em armas. Isso inclui dois erros críticos de execução remota de código (RCE) não autenticados.
A plataforma vRealize Log Insight (que está mudando seu nome para Aria Operations) fornece gerenciamento de log inteligente “para infraestrutura e aplicativos em qualquer ambiente”, de acordo com a VMware , oferecendo aos departamentos de TI acesso a painéis e análises que têm visibilidade física, virtual e ambientes de nuvem, incluindo extensibilidade de terceiros. Normalmente carregada em um dispositivo, a plataforma pode ter acesso altamente privilegiado às áreas mais sensíveis da pegada de TI de uma organização.
“Obter acesso ao host do Log Insight oferece algumas possibilidades interessantes para um invasor, dependendo do tipo de aplicativo integrado a ele”, disse o pesquisador da Horizon.ai, James Horseman, que se aprofundou no código de exploit público esta semana. “Muitas vezes, os logs ingeridos podem conter dados confidenciais de outros serviços e podem permitir que um ataque colete tokens de sessão, chaves de API e informações de identificação pessoal. Essas chaves e sessões podem permitir que o invasor mude para outros sistemas e comprometa ainda mais o ambiente.”
As organizações devem estar cientes do risco, especialmente porque a barreira à exploração dos bugs – também conhecida como complexidade de acesso – é baixa, diz Dustin Childs, chefe de conscientização de ameaças da Zero Day Initiative (ZDI) da Trend Micro, que relatou as vulnerabilidades.
“Se você está fazendo gerenciamento de log centralizado com esta ferramenta, isso representa um risco significativo para sua empresa”, disse ele à Dark Reading. “Recomendamos testar e implantar o patch da VMware o mais rápido possível.”
Por dentro dos erros do VMware vRealize Log Insight
Os dois problemas críticos carregam pontuações de gravidade de 9,8 em 10 na escala CVSS e podem permitir que um “agente mal-intencionado e não autenticado injete arquivos no sistema operacional de um dispositivo afetado, o que pode resultar na execução remota de código”, de acordo com o VMware consultivo .
Um ( CVE-2022-31706 ) é uma vulnerabilidade de travessia de diretório; o outro ( CVE-2022-31704 ) é uma vulnerabilidade de controle de acesso quebrada.
A terceira falha é uma vulnerabilidade de desserialização de alta gravidade ( CVE-2022-31710 , CVSS 7.5), que pode permitir que um agente mal-intencionado não autenticado “dispare remotamente a desserialização de dados não confiáveis, o que pode resultar em uma negação de serviço”.
Criando uma cadeia de bugs para aquisição completa
Os pesquisadores da Horizon.ai, depois de identificar o código de exploração em estado selvagem, descobriram que os três problemas poderiam estar encadeados, levando a VMware a atualizar seu comunicado hoje.
“Essa [cadeia] de vulnerabilidade [combinada] é fácil de explorar; no entanto, exige que o invasor tenha alguma configuração de infraestrutura para atender a cargas maliciosas”, escreveu Horseman. “Esta vulnerabilidade permite a execução remota de código como root, essencialmente dando ao invasor controle completo sobre o sistema”.
Dito isso, ele ofereceu um lado positivo: o produto é destinado ao uso em uma rede interna; ele observou que os dados do Shodan revelaram 45 instâncias dos aparelhos expostos publicamente na Internet.
Isso não significa, no entanto, que a corrente não possa ser usada por dentro.
“Como é improvável que este produto seja exposto à Internet, o invasor provavelmente já estabeleceu uma posição em algum outro lugar da rede”, observou ele. “Se um usuário determinar que foi comprometido, é necessária uma investigação adicional para determinar qualquer dano causado por um invasor.”
Os três bugs foram divulgados pela primeira vez na semana passada pela gigante da virtualização como parte de um cache que também incluía um outro, um bug de divulgação de informações de gravidade média ( CVE-2022-31711 , CVSS 5.3) que poderia permitir a coleta de dados sem autenticação. O último ainda não possui código de exploração público, embora isso possa mudar rapidamente, principalmente devido à popularidade das ofertas alvo da VMware para os cibercriminosos.
Em breve, também poderá haver várias maneiras de explorar os outros problemas. “Temos código de prova de conceito disponível para demonstrar as vulnerabilidades”, diz Childs da ZDI. “Não ficaríamos surpresos se outros descobrissem uma exploração em pouco tempo.”
Como proteger a empresa
Para proteger suas organizações, os administradores devem aplicar os patches da VMware ou aplicar uma solução alternativa publicada o mais rápido possível. A Horizon.ai também publicou indicadores de comprometimento (IoCs) para ajudar as organizações a rastrear qualquer ataque.
Além disso, “se você estiver usando vRealize ou Aria Operations para gerenciamento centralizado de logs, precisará verificar que tipo de exposição esse sistema possui”, aconselha Childs. “Ele está conectado à Internet? Existem restrições de IP para quem pode acessar a plataforma? Esses são itens adicionais a serem considerados além do patching, que deve ser sua primeira etapa. É também um lembrete de que cada ferramenta ou produto em uma empresa representa um potencial alvo para os atacantes ganharem uma posição.”
FONTE: DARK READING