È stato rilasciato un codice exploit di prova per una grave vulnerabilità di bypass dell’autenticazione SSH nel tool di analisi Aria Operations for Networks di VMware (precedentemente noto come vRealize Network Insight).
Dettagli sulla vulnerabilità
La vulnerabilità, identificata come CVE-2023-34039, è stata scoperta dagli analisti di sicurezza di ProjectDiscovery Research e corretta da VMware mercoledì con il rilascio della versione 6.11. L’exploit consente agli aggressori remoti di bypassare l’autenticazione SSH su dispositivi non patchati e accedere all’interfaccia della riga di comando del tool. Questi attacchi sono di bassa complessità e non richiedono interazione dell’utente a causa di quello che l’azienda descrive come “mancanza di generazione di chiave crittografica unica”.
Per mitigare la vulnerabilità, VMware “raccomanda vivamente” di applicare le patch di sicurezza per le versioni di Aria Operations for Networks 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10 disponibili in questo documento di supporto.
Oggi, VMware ha confermato che il codice exploit per CVE-2023-34039 è stato pubblicato online, due giorni dopo aver rivelato il grave bug di sicurezza.
L’exploit di prova (PoC) mira a tutte le versioni di Aria Operations for Networks dalla 6.0 alla 6.10 ed è stato sviluppato e rilasciato dal ricercatore di vulnerabilità del team Summoning, Sina Kheirkhah. Kheirkhah ha dichiarato che la causa principale del problema sono le chiavi SSH codificate lasciate dopo che VMware ha dimenticato di rigenerare le chiavi SSH autorizzate.
VMware ha anche corretto questa settimana una vulnerabilità di scrittura di file arbitraria (CVE-2023-20890), che consente agli aggressori di ottenere l’esecuzione di codice remoto dopo aver ottenuto l’accesso amministrativo al dispositivo bersaglio.
Ulteriori informazioni
Nel luglio scorso, VMware ha avvertito i clienti che il codice exploit era stato rilasciato online per una grave vulnerabilità RCE (CVE-2023-20864) nel tool di analisi VMware Aria Operations for Logs. Un mese prima, l’azienda aveva emesso un altro avviso riguardo all’exploit attivo di un altro grave bug di Network Insight (CVE-2023-20887) che può portare ad attacchi di esecuzione di comandi remoti.
In vista di ciò, si raccomanda vivamente agli amministratori di aggiornare i loro dispositivi Aria Operations for Networks alla versione più recente il prima possibile come misura preventiva contro potenziali attacchi imminenti.
