کمیته رکن چهارم – شرکت VMware نسبت به احتمال سوءاستفاده هکرها از آسیبپذیری به وجود آمده در محصول vReality این شرکت به کاربران هشدار داد.
ویامور (VMware) یک توصیهنامه امنیتی که دو هفته پیش منتشر شده بود را بهروز کرد تا به مشتریان هشدار دهد یک آسیبپذیری بحرانی وصله شده که امکان اجرای کد از راه دور را به مهاجمان میدهد، بهطور فعال در حملات مورد سوءاستفاده قرار میگیرد.
این شرکت تایید کرده است که سوءاستفاده از آسیبپذیری CVE-2023-20887 همچنان ادامه دارد.
این اخطار به دنبال هشدارهای متعدد از سوی شرکت امنیت سایبری GreyNoise است، اولین هشداری که یک هفته پس از اصلاح نقص امنیتی VMware در ۱۵ ژوئن و تنها دو روز پس از به اشتراک گذاشتن جزئیات فنی و کد سوءاستفاده (Exploit Code) شواهد (POC) توسط محقق امنیتی سینا خیرخواه، صادر شد.
جیکوب فیشر، تحلیلگر شرکت GreyNoise اظهار داشت: ما تلاشهای انبوهی را با استفاده از کد POC ذکر شده در بالا در راستای تلاش برای راه اندازی یک Shell معکوس مشاهده کردهایم که به سرور کنترل شده توسط مهاجم متصل میشود تا دستورات بیشتری دریافت کند.
اندرو موریس، مدیر عامل شرکت GreyNoise نیز اوایل امروز (۲۰ ژوئن ۲۰۲۳) به مدیران VMware در مورد این فعالیت مخرب مدام هشدار داد، که احتمالاً VMware را وادار کرد تا توصیه نامه خود را به روزرسانی کند.
درحال حاضر شرکت GreyNoise یک برچسب اختصاصی برای کمک به ردیابی آدرسهای IP مشاهده شده در هنگام تلاش برای سوء استفاده (exploit) از آسیبپذیری CVE-2023-20887 ارائه میکند.
این آسیبپذیری بر روی VMware Aria Operations for Networks (یا vRealize Network Insight سابق) تأثیر میگذارد که یک ابزار تحلیل شبکه است. این ابزار به مدیران کمک میکند تا عملکرد شبکه را بهینه و یا استقرارهای VMware و Kubernetes را مدیریت کنند.
عوامل مخرب احراز هویت نشده میتوانند از این نقص تزریق دستور(command injection) در حملات با پیچیدگی کم(low-complexity) که نیازی به تعامل کاربر ندارند، سوء استفاده کنند.
خیرخواه در تجزیه و تحلیل علت اصلی این اشکال امنیتی توضیح داد: ابزارVMWare Aria Operations for Networks (یا vRealize Network Insight سابق) هنگام پذیرش ورودی کاربر از طریق رابط Apache Thrift RPC در برابر تزریق فرمان(command injection) آسیب پذیر است. این آسیبپذیری به یک مهاجم احراز هویت نشده اجازه میدهد تا از راه دور دستورات دلخواه خود را به عنوان کاربر root بر روی سیستم عامل زیرین(underlying) اجرا کند.
هیچ راه حلی برای حذف بردار حمله برای آسیبپذیری CVE-2023-20887 در دسترس نیست، بنابراین مدیران باید تمام VMware Aria Operations Networks 6.x را وصله کنند تا از ایمن بودن آنها در برابر حملات در دست اقدام اطمینان حاصل کنند.
منبع: افتانا