На прошлой неделе разработчики VMware исправили критическую уязвимость в Aria Operations for Networks (ранее vRealize Network Insight), связанную с обходом SSH-аутентификации. После анализа патча, специалист Summoning Team создал PoC-эксплоит для свежей проблемы.
Уязвимость получила идентификатор CVE-2023-34039 и набрала 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Проблема была связана с обходом аутентификации, который, согласно заявлению производителя, возможен в виду отсутствия генерации уникального криптографического ключа.
То есть эксплуатация CVE-2023-34039 может привести к краже или изменению данных через интерфейс командной строки продукта. В зависимости от конфигурации, такой взлом может повлечь за собой нарушение работы сети, изменение настроек, установку вредоносного ПО и боковое перемещение злоумышленника по сети.
После выхода исправления VMware настоятельно рекомендовала пользователям как можно скорее применить патчи для Aria Operations for Networks версий 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 и 6.10.
Теперь в VMware предупреждают, что код PoC-эксплоита для CVE-2023-34039 уже доступен в сети и появился всего через два дня после раскрытия информации об уязвимости.
Эксплоит нацелен на все версии Aria Operations for Networks с 6.0 по 6.10, и был создан исследователем Summoning Team Синой Хейрха (Sina Kheirkhah).
По словам эксперта, который отреверсил патчи VMware, первопричиной проблемы являются жестко закодированные SSH-ключи, сохранившиеся после того, как VMware «забыла» их перегенерировать.
Корень проблемы кроется в bash-скрипте, содержащем метод refresh_ssh_keys(), который отвечает за перезапись текущих SSH-ключей для пользователей support и ubuntu в файле authorized_keys. То есть SSH-аутентификация в целом работает, но новые ключи не генерируются, а вместо них используются жестко заданные.
Работа эксплоита
Уязвимость получила идентификатор CVE-2023-34039 и набрала 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Проблема была связана с обходом аутентификации, который, согласно заявлению производителя, возможен в виду отсутствия генерации уникального криптографического ключа.
То есть эксплуатация CVE-2023-34039 может привести к краже или изменению данных через интерфейс командной строки продукта. В зависимости от конфигурации, такой взлом может повлечь за собой нарушение работы сети, изменение настроек, установку вредоносного ПО и боковое перемещение злоумышленника по сети.
После выхода исправления VMware настоятельно рекомендовала пользователям как можно скорее применить патчи для Aria Operations for Networks версий 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 и 6.10.
Теперь в VMware предупреждают, что код PoC-эксплоита для CVE-2023-34039 уже доступен в сети и появился всего через два дня после раскрытия информации об уязвимости.
Эксплоит нацелен на все версии Aria Operations for Networks с 6.0 по 6.10, и был создан исследователем Summoning Team Синой Хейрха (Sina Kheirkhah).
По словам эксперта, который отреверсил патчи VMware, первопричиной проблемы являются жестко закодированные SSH-ключи, сохранившиеся после того, как VMware «забыла» их перегенерировать.
Корень проблемы кроется в bash-скрипте, содержащем метод refresh_ssh_keys(), который отвечает за перезапись текущих SSH-ключей для пользователей support и ubuntu в файле authorized_keys. То есть SSH-аутентификация в целом работает, но новые ключи не генерируются, а вместо них используются жестко заданные.
Работа эксплоита
