محققان امنیتی یک کد PoC برای آسیب پذیری لاگ VMware vRealize Insight کشف کردند که به مهاجمان اجازه اجرای کد از راه دور در دستگاههای وصله نشده را میدهد.
VMware چهار آسیب پذیری امنیتی در ابزار آنالیز لاگ vRealize را در هفته گذشته رفع نموده است که دو مورد از آنها حیاتی بوده اند و به مهاجم اجازه اجرای کد در دستگاههای در معرض خطر را میدهد.
هر دوی آسیب پذیری های حیاتی می تواند در برخی از حملات با پیچیدگی کم که نیاز به واکنشی از سمت کاربر ندارند، بهره برداری شود.
CVE-2022-31706 یک باگ پیمایش دایرکتوری بوده و CVE-2022-31704 یک باگ شکستن کنترل دسترسی می باشد. آنها می توانند به منظور تزریق فایل های حاوی کد مخرب به سیستم عامل دستگاههای تحت تاثیر، مورد سواستفاده قرار بگیرند.
VMware همچنین آسیب پذیری CVE-2022-31710 که شرایط denial of service را فراهم کرده و باگ افشای اطلاعات CVE-2022-31711 که به مهاجمان اجازه دسترسی به نشست های حساس و اطلاعات برنامه را میدهد، نیز رفع نموده است.
به گفته محققان استفاده از این آسیب پذیری ها آسان بوده اما لازم است مهاجم زیرساختهایی را برای تنظیم سرورهای payload مخرب خود داشته باشد.
“علاوه بر این، از آنجایی که بعید است که این محصول در معرض اینترنت قرار گیرد، مهاجم احتمالا قبلاً جای پای خود را در جای دیگری در شبکه ایجاد کرده است. این آسیب پذیری امکان اجرای کد از راه دور را به صورت root فراهم می کند و به مهاجم امکان داشتن کنترل کاملی بر سیستم می دهد.”
برای مهاجمان غیرمعمول نیست که از آسیبپذیری ها موجود در شبکههای در معرض خطر برای جابجایی های جانبی سوء استفاده کرده و دستگاههای آسیبپذیر VMware را به اهداف داخلی ارزشمند تبدیل کنند.
با اینکه گزارشاتی از سوءاستفاده از این آسیب پذیری ها به صورت عمومی منتشر نشده است اما مهاجمان همیشه و به سرعت به دنبال بهره برداری از RCE های موجود بوده و هستند بنابراین توجه به آسیب پذیری های وصله نشده حائز اهمیت است.
منبع: https://www.bleepingcomputer.com