Virtualisatiedienstverlener VMware heeft klanten gewaarschuwd voor het bestaan van een proof-of-concept (PoC)-exploit voor een recentelijk gepatcht beveiligingslek in Aria Operations for Logs.
De zeer ernstige kwetsbaarheid, bijgehouden als CVE-2023-34051 (CVSS-score: 8,1), heeft betrekking op een geval van authenticatieomzeiling dat zou kunnen leiden tot uitvoering van externe code.
“Een niet-geverifieerde, kwaadwillende actor kan bestanden in het besturingssysteem van een getroffen apparaat injecteren, wat kan resulteren in het uitvoeren van code op afstand”, aldus VMware in een advies op 19 oktober 2023.
James Horseman van Horizon3.ai en het Randori Attack Team hebben de fout ontdekt en gerapporteerd.
Horizon3.ai heeft sindsdien een PoC voor de kwetsbaarheid beschikbaar gesteld, wat VMware ertoe heeft aangezet zijn advies deze week te herzien.
Het is vermeldenswaard dat CVE-2023-34051 een patch-bypass is voor een reeks kritieke fouten die eerder deze januari door VMware zijn verholpen en die gebruikers kunnen blootstellen aan aanvallen op het uitvoeren van externe code.
“Deze patch-bypass zou voor een aanvaller niet erg moeilijk te vinden zijn”, zei Horseman. “Deze aanval onderstreept het belang van diepgaande verdediging. Een verdediger kan er niet altijd op vertrouwen dat een officiële patch een kwetsbaarheid volledig verhelpt.”
De onthulling komt op het moment dat Citrix een eigen advies heeft uitgebracht, waarin klanten worden aangespoord oplossingen aan te brengen voor CVE-2023-4966 (CVSS-score: 9,4), een kritiek beveiligingsprobleem dat NetScaler ADC en NetScaler Gateway treft en dat in het wild actief wordt uitgebuit.
“We hebben nu meldingen van incidenten die consistent zijn met het kapen van sessies, en hebben geloofwaardige rapporten ontvangen van gerichte aanvallen die misbruik maken van dit beveiligingslek”, zei het bedrijf deze week, ter bevestiging van een rapport van Mandiant, eigendom van Google.
De exploitatie-inspanningen zullen de komende dagen waarschijnlijk ook toenemen, gezien de beschikbaarheid van een PoC-exploit, genaamd Citrix Bleed.
“Hier zagen we een interessant voorbeeld van een kwetsbaarheid die werd veroorzaakt door het niet volledig begrijpen van snprintf”, zei Assetnote-onderzoeker Dylan Pindur.
“Ook al wordt snprintf aanbevolen als de veilige versie van sprintf, het is nog steeds belangrijk om voorzichtig te zijn. Een bufferoverflow werd vermeden door snprintf te gebruiken, maar het daaropvolgende overlezen van de buffer was nog steeds een probleem.”
De actieve exploitatie van CVE-2023-4966 heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) ertoe aangezet om het toe te voegen aan de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties in de VS verplicht zijn om de nieuwste patches vóór 8 november 2023 toe te passen. .
De nieuwste ontwikkelingen volgen ook op de release van updates voor drie kritieke kwetsbaarheden bij het uitvoeren van externe code in SolarWinds Access Rights Manager (CVE-2023-35182, CVE-2023-35185 en CVE-2023-35187, CVSS-scores: 9,8) die aanvallers op afstand zouden kunnen gebruiken om code uit te voeren met SYSTEEM-rechten.
