Securityonderzoekers van securitytestorganisatie Horizon3 hebben een nieuwe exploit ontdekt voor VMware vRealize Log Insight-appliances. Deze exploit combineert een aantal eerder gevonden en gepatchte lekken in een nieuwe exploit die op afstand code als root kan uitvoeren.
Onlangs ontdekten de securityspecialisten een viertal exploits voor VMware vRealize Log Insight appliances of het tegenwoordige VMware Aria Operations for Logs. Met deze kwetsbaarheden, waarvan er twee zeer kritiek waren, zijn cybercriminelen in staat op afstand zonder authenticatie code uit te voeren.
De eerste kritieke kwetsbaarheid, CVE-2022-31706, is een zogenoemde ‘directory traversal’ kwetsbaarheid die kan worden misbruikt door het injecteren van bestanden in het OS van de getroffen appliances. De tweede kritieke kwetsbaarheid, is een ‘broken access control flaw’ die kan worden misbruikt door het injecteren van kwaadaardige bestanden in RCE-aanvallen.
De overige twee aangetroffen exploits, CVE-2022-31710 en CVE-2022-31711, zijn respectievelijk een exploit die denial of service-aanvallen mogelijk maakt en een exploit die toegang zoekt en geeft tot informatie van actieve sessies en applicaties.
VMware heeft inmiddels patches voor deze kwetsbaarheden uitgebracht. Helaas heeft nog niet iedereen die geïnstalleerd.
Waarschuwing voor combinatie-exploit
In hun nieuwe waarschuwing komen de securityspecialisten nu met de waarschuwing dat zij een exploit hebben gevonden die drie van de eerder gevonden kwetsbaarheden combineert. Deze nieuwe exploit stelt cybercriminelen in staat op afstand code als root te draaien.
Meer concreet geeft de exploit toegang tot de via het internet verbonden VMware-appliances en is het voor de cybercriminelen mogelijk laterale bewegingen uit te voeren van op deze appliances opgeslagen inloggegevens. Denk in dit laatste geval onder andere aan gevoelige informatie van VMware VRealize Log Insight hosts, zoals API-keys en sessietokens. Hiermee kunnen de hackers dieper de systemen van de getroffen organisaties binnendringen. Met alle gevolgen van dien.
De specialisten van Horizon3 hebben inmiddels een aantal indicatoren gepubliceerd, waarmee eindgebruikers kunnen checken of hun VMware-appliances kwetsbaar zijn voor de nieuwe exploit. Hierbij gaat het om de log entries op de Log Insight-server en het netwerkverkeer dat van en naar de Log Insight-server gaat. Binnenkort presenteren de onderzoekers meer gedetailleerde informatie.
Patchen zeer wenselijk
Cybercriminelen kunnen de nieuwe exploit eenvoudig uitbuiten, zo geven de onderzoekers verder aan. Wel moeten zij hiervoor een bepaalde infrastructuur setup hebben voor het aanbieden van de kwaadaardige payloads.
De onderzoekers hebben inmiddels vastgesteld dat wereldwijd 45 met het internet verbonden appliances al door de nieuwe exploit worden misbruikt. Zij roepen dan ook op zo snel mogelijk de patches van VMware voor de vier eerder gevonden exploits door te voeren.
21 uur geleden
