Min kiderült, a VMware vRealize Log Insight platformjában található biztonsági sebezhetőségek egymáshoz láncolhatók, így a kiberbűnözők számára tátongó lyuk kínálkozik a vállalati koronaékszerekhez való hozzáféréshez. A három biztonsági résről egy nyilvános exploit kód kering, amely térképet kínál a kiberbűnözőknek, hogy fegyverként tudják felhasználni. Ezek közé tartozik két kritikus, nem hitelesített távoli kódfuttatási (RCE) hiba.
A vRealize Log Insight platform (amely hamarosan Aria Operations névre vált) a VMware szerint intelligens naplókezelést nyújt "bármilyen környezetben lévő infrastruktúra és alkalmazások számára", hozzáférést ad az informatikai részlegeknek a műszerfalakhoz és elemzésekhez, amelyek fizikai, virtuális és felhőkörnyezetekben is átláthatóak, beleértve a harmadik féltől származó bővíthetőséget is. A rendszerint egy készülékre feltöltött platform rendkívül privilegizált hozzáféréssel rendelkezhet a szervezet IT-lábnyomának legérzékenyebb területein.
"A Log Insight hoszthoz való hozzáférés megszerzése érdekes lehetőségeket kínál egy támadó számára, attól függően, hogy milyen típusú alkalmazások vannak integrálva hozzá"
- mondta James Horseman, a Horizon.ai kutatója, aki a héten mélyen belemerült a nyilvános exploit kódjába.
"Gyakran előfordulhat, hogy a bekebelezett naplók más szolgáltatásokból származó érzékeny adatokat tartalmaznak, és lehetővé tehetik egy támadó számára, hogy munkamenet-tokeneket, API-kulcsokat és személyazonosításra alkalmas információkat gyűjtsön. Ezek a kulcsok és munkamenetek lehetővé tehetik a támadó számára, hogy más rendszerekre pivotáljon, és tovább veszélyeztesse a környezetet".
A szervezeteknek tudomásul kell venniük a kockázatot, különösen azért, mert a hibák kihasználásának akadálya (más néven a hozzáférés összetettsége) alacsony - ezt már Dustin Childs, a sebezhetőségeket bejelentő Trend Micro Zero Day Initiative (ZDI) fenyegetéstudatosságért felelős vezetője tette hozzá.
"Ha ezzel az eszközzel központosított naplókezelést végez, akkor ez jelentős kockázatot jelent a vállalat számára. Javasoljuk a VMware-től származó javítócsomag mielőbbi tesztelését és telepítését"
- mondta a szakember a problémát ismertető Dark Readingnek.
A két kritikus hiba a CVSS skálán 10-ből 9,8-as súlyossági pontszámú, és megteremti a feltételeket egy "nem hitelesített, rosszindulatú szereplő számára, hogy fájlokat juttasson be az érintett eszköz operációs rendszerébe, ami távoli kódfuttatást eredményezhet" - olvasható az eredeti VMware-tájékoztatóban. Az egyik (CVE-2022-31706) egy könyvtárátjárási sebezhetőség, a másik (CVE-2022-31704) egy sérült hozzáférés-szabályozási sebezhetőség. A harmadik hiba egy nagy súlyú deserializációs sebezhetőség (CVE-2022-31710, CVSS 7.5), amely adott esetben lehetővé teszi egy nem hitelesített rosszindulatú szereplőnek, hogy "távolról kiváltsa a nem megbízható adatok deserializációját, ami szolgáltatásmegtagadást eredményezhet".
Ráadásul a Horizon.ai kutatói, miután azonosították az exploit kódot, felfedezték, hogy a három hibát össze lehet láncolni.
"Ezt a kombinált sebezhetőségi láncot könnyű kihasználni; azonban a támadónak rendelkeznie kell valamilyen infrastruktúrával, amelyet a rosszindulatú hasznos terhek kiszolgálására kell beállítania. Ez a sebezhetőség lehetővé teszi a távoli kódfuttatást root-ként, lényegében teljes irányítást adva a támadónak a rendszer felett"
- írta Horseman. Mindezek mellett egy jó hírrel is szolgált: A terméket belső hálózatban való használatra szánták. Megjegyezte, hogy a Shodan adatai 45 olyan esetet mutattak ki, amikor a készülékek nyilvánosan ki voltak téve a támadásnak az interneten. Ez azonban nem jelenti azt, hogy a láncot nem lehet belülről használni.
"Mivel ezt a terméket valószínűleg nem teszik ki az internetre, a támadó valószínűleg már valahol máshol megvetette a lábát a hálózaton. Ha egy felhasználó megállapítja, hogy veszélybe került, további vizsgálatokra van szükség ahhoz, hogy felmérjék, milyen kárt okozott a támadó"
- tette még hozzá.
A három hibát először a múlt héten hozta nyilvánosságra a virtualizációs óriás egy olyan cache részeként, amely egy másik, közepes súlyosságú információfeltáró hibát is tartalmazott (CVE-2022-31711, CVSS 5.3), amely lehetővé teszi az adatgyűjtést hitelesítés nélkül. Ez utóbbihoz még nincs nyilvános exploit kód, bár ez gyorsan változhat, különösen annak fényében, hogy a VMware ajánlatai mennyire népszerű célpontot jelentenek a kiberbűnözők számára.
A többi probléma kihasználására hamarosan többféle módszer is létezhet. "Megvan a proof-of-concept kód a sebezhetőségek bemutatására. Nem lennénk meglepve, ha mások rövid időn belül kitalálnának egy exploitot" - mondta Dustin Childs.
Szervezeteik védelme érdekében az adminok számára ajánlott a VMware javítócsomagjainak alkalmazása, vagy a lehető leghamarabb alkalmazniuk kell a közzétett megoldásokat. A Horizon.ai emellett közzétette a veszélyeztetettségi mutatókat (IoC), hogy a szervezetek nyomon követhessék a támadásokat.
"Ha a vRealize vagy az Aria Operations rendszert használja központi naplókezelésre, akkor ellenőrizni kell, hogy milyen típusú kitettsége van az adott rendszernek. Az internethez van-e csatlakoztatva? Vannak IP-korlátozások arra vonatkozóan, hogy ki férhet hozzá a platformhoz? Ezek további megfontolandó elemek a foltozáson túl, amelynek az első lépésnek kell lennie. A vállalaton belül minden eszköz vagy termék potenciális célpontot jelent a támadók számára, hogy megvethessék a lábukat"
- figyelmeztetett Childs.