![[Tool] Sử dụng AsvScan để giảm thiểu các cuộc tấn công mạng khi có IOCs](https://quantribaomat.com/uploads/images/202406/image_430x256_667e3a37b171f.webp)
.jpg)
Khai thác PoC được phát hành cho lỗ hổng vượt qua xác thực VMware Aria
VMware Aria Operations for Network trước đây đã được phát hiện có lỗ hổng Authentication Bypass , có mức độ nghiêm trọng nghiêm trọng. VMware đã phát hành bản vá để khắc phục lỗ hổng này. Tuy nhiên, Bằng chứng về khái niệm và tệp bản vá do VMware cung cấp đã được thông báo tóm tắt.
CVE-2023-34039 là ID CVE được gán cho lỗ hổng này. Theo VMware, lỗ hổng tồn tại do thiếu việc tạo khóa mật mã duy nhất dẫn đến việc bỏ qua xác thực. Sau khi phân tích, người ta phát hiện ra rằng đây không phải là lỗ hổng bỏ qua xác thực. Thay vào đó, đây là sự cố khóa SSH được mã hóa cứng.
Bằng chứng về khái niệm – CVE-2023-34039
Theo báo cáo được chia sẻ với Cyber Security News, các nhà nghiên cứu đã phân tích các tệp bản vá do VMware phát hành như một phần của bản vá. Có nhiều tệp vá lỗi và một trong số đó là tập lệnh bash.
Tập lệnh bash bao gồm một hàm có tên “refresh_ssh_keys” được sử dụng để ghi đè các khóa SSH hiện tại được bộ phận hỗ trợ và người dùng Ubuntu sử dụng trong phiên bản VMware. Các khóa SSH giống hệt nhau đối với cả hai người dùng, những người thuộc nhóm sudoers không có giới hạn.
Việc triển khai VMware Aria Operations for Network chứa hai máy, Platform và Collector, có thể bị khai thác do lỗ hổng này.
Ngoài ra, VMware Aria Operations đã không triển khai chức năng Refresh_ssh_keys này từ phiên bản 6.0 đến 6.10, tạo cho các tác nhân đe dọa một không gian tấn công rộng. Tất cả các phiên bản này đều có các khóa SSH duy nhất được các nhà nghiên cứu thu thập và PoC khai thác đã được phát hành.
Theo lời khuyên bảo mật do VMware đưa ra, Người dùng VMware Aria Operations for Networks nên nâng cấp lên phiên bản mới nhất, 6.11, phiên bản này đã được xác nhận là không bị ảnh hưởng bởi lỗ hổng này.
Cảm xúc của bạn?
