Horizon3 攻击团队的安全研究人员将于下周发布一个针对漏洞链的漏洞利用程序,以在未打补丁的 VMware vRealize Log Insight 设备上获得远程代码执行。
vRealize Log Insight 现在称为 VMware Aria Operations for Logs,它使 VMware 管理员可以更轻松地分析和管理数 TB 的基础架构和应用程序日志。
周二,VMware修补了这个日志分析工具中的四个安全漏洞,其中两个是关键漏洞,允许攻击者在未经身份验证的情况下远程执行代码。
两者都被标记为临界严重性,CVSS 基本分数为 9.8/10,威胁参与者可以在不需要身份验证的低复杂性攻击中加以利用。
其中之一 (CVE-2022-31706) 是一个目录遍历漏洞,可被滥用以将文件注入受影响设备的操作系统,第二个(跟踪为 CVE-2022-31704)是一个损坏的访问控制漏洞,可以也可以通过在 RCE 攻击中注入恶意制作的文件来加以利用。
VMware还解决了触发拒绝服务状态的反序列化漏洞 (CVE-2022-31710) 和可用于访问敏感会话和应用程序信息的信息泄露错误 (CVE-2022-31711)。
周四,Horizon3 的攻击团队警告VMware 管理员,他们已经能够创建一个漏洞利用程序,将 VMware 本周修补的四个漏洞中的三个漏洞链接起来,以 root 身份远程执行代码。
VMware vRealize Log Insight 设备的默认配置中的所有漏洞都是可利用的。该漏洞可用于获得对组织网络的初始访问权限(通过暴露于 Internet 的设备)以及使用存储的凭据进行横向移动。
一天后,安全研究人员发布了一篇包含更多信息的博客文章,其中包括一份妥协指标 (IOC) 列表,防御者可以使用这些指标来检测其网络中的利用迹象。
攻击者可以从 Log Insight 主机上的日志中获取敏感信息,包括 API 密钥和会话令牌,这将有助于破坏其他系统并进一步危害环境。
VMware vRealize Log Insight unauth RCE 利用
研究人员说: “这个漏洞很容易被利用,但它需要攻击者设置一些基础设施来为恶意负载提供服务。”
“此外,由于该产品不太可能暴露在互联网上,攻击者可能已经在网络上的其他地方建立了立足点。
“这个漏洞允许以 root 身份远程执行代码,实质上让攻击者可以完全控制系统。”
正如 Horizon3 漏洞研究员 James Horseman 进一步透露的那样,根据 Shodan 数据,互联网上公开暴露的实例只有 45 个。
这是意料之中的,因为 VMware vRealize Log Insight 设备设计用于在组织网络内部访问。
然而,威胁行为者滥用已被破坏的网络中的漏洞横向传播到其他设备,从而成为这些有价值的内部目标的情况并不少见。
2022 年 5 月,Horizon3 发布了另一个针对CVE-2022-22972的漏洞利用,这是一个影响多个 VMware 产品并允许威胁参与者获得管理员权限的关键身份验证绕过漏洞。
https://www.horizon3.ai/vmware-vrealize-cve-2022-31706-iocs/
