ช่องโหว่ระดับ critical ใน VMware Aria สามารถ bypass SSH authentication ได้

พบช่องโหว่ระดับ critical ใน VMware Aria Operations for Networks (เดิมเรียกว่า vRealize Network Insight) ซึ่งอาจทำให้ผู้โจมตีจากภายนอกสามารถ bypass SSH authentication และเข้าถึง private endpoints ได้

VMware Aria เป็นชุดโปรแกรมสำหรับการจัดการ และตรวจสอบ virtualized environments และ hybrid clouds, IT Automation, การจัดการ log, การสร้างข้อมูลวิเคราะห์, Network visibility, การรักษาความปลอดภัย และจัดสรรการวางแผนการใช้ทรัพยากร และการจัดการขอบเขตการทำงานทั้งหมด

เมื่อวันอังคารที่ผ่านมา VMware ได้เผยแพร่คำเตือนด้านความปลอดภัยเกี่ยวกับช่องโหว่ที่ส่งผลกระทบต่อ Aria เวอร์ชัน 6.x ทั้งหมด

ช่องโหว่ดังกล่าวถูกพบโดยนักวิเคราะห์จาก ProjectDiscovery Research ซึ่งมีหมายเลข CVE-2023-34039 และได้รับ CVSS v3: 9.8 ซึ่งถือว่าเป็นช่องโหว่ระดับ "critical"

"การแจ้งเตือนจาก VMware เกี่ยวกับช่องโหว่นั้นระบุว่า Aria Operations for Networks มีช่องโหว่ในการ Authentication Bypass เนื่องจากขาดการสร้าง Unique cryptographic key"

ผู้โจมตีที่เข้าถึงเครือข่ายไปยัง Aria Operations for Networks อาจสามารถ bypass SSH authentication เพื่อเข้าถึง Aria Operations for Networks CLI ได้

การใช้ประโยชน์จากช่องโหว่ CVE-2023-34039 อาจส่งผลให้เกิดการถูกขโมยข้อมูล, การแก้ไขข้อมูลผ่าน command line interface ของบริการ และอาจส่งผลให้เกิดความขัดข้องในระบบเครือข่าย, การแก้ไขการกำหนดค่า, การติดตั้งมัลแวร์ และการโจมตีต่อไปยังระบบอื่น ๆ ภายในเครือข่าย ขึ้นอยู่กับการกำหนดค่าไว้บนระบบ

VMware ยังไม่ได้ให้คำแนะนำ หรือการแก้ไขปัญหาชั่วคราวในกรณีที่ยังไม่สามารถอัปเดตได้ ดังนั้นวิธีการเดียวในการแก้ไขช่องโหว่ คือการอัปเกรดเป็นเวอร์ชัน 6.11 หรือใช้แพตช์ KB94152 บนเวอร์ชันก่อนหน้านี้

ช่องโหว่ที่สองที่มีความรุนแรงระดับ high (CVSS v3: 7.2) ได้รับการแก้ไขโดยแพตช์เดียวกันคือ CVE-2023-20890 ซึ่งเป็นช่องโหว่เกี่ยวกับการเขียนไฟล์ที่ไม่เกี่ยวข้อง อาจทำให้ผู้โจมตีที่มีสิทธิ์ administrative สามารถสั่งรันโค้ดจากระยะไกลได้

เนื่องจากซอฟต์แวร์นี้มักถูกใช้ในองค์กรขนาดใหญ่ แฮ็กเกอร์จึงอาจใช้ประโยชน์จากช่องโหว่นี้ทำให้ส่งผลกระทบต่อระบบได้

ในเดือนมิถุนายน 2023 VMware ได้แจ้งเตือนผู้ใช้งานเกี่ยวกับการใช้ประโยชน์จากช่องโหว่ CVE-2023-20887 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลกระทบต่อ Aria Operations for Networks

มีการ Scan และค้นหาช่องโหว่ภายในหนึ่งสัปดาห์ หลังจากที่ VMware ออกอัปเดตแพตซ์ความปลอดภัย และเพียงสองวันหลังจากที่มีการเผยแพร่ PoC (proof of concept) ออกมา

ที่มา : bleepingcomputer

Read more