Jetzt patchen! Sicherheitsforscher kombinieren LĂĽcken in VMware vRealize Log
Angreifer könnten zeitnah vRealize Log von VMware ins Visier nehmen und Schadcode mit Root-Rechten ausführen. Sicherheitsupdates sind verfügbar.
Sicherheitsforscher von Horizon3 haben Exploit-Code entwickelt, um mit vergleichsweise wenig Aufwand Schadcode in Netzwerken mit dem Logging-Tool VMware vRealize Log auszuführen. Das soll mit Root-Rechten möglich sein und könnte zu einer vollständigen Kompromittierung führen. Der Forscher gehen davon aus, dass Attacken bevorstehen könnten.
Schwachstellen-Cocktail
In einem Bericht führen sie aus, wie sie drei Sicherheitslücken (CVE-2022-31704 „kritisch“, CVE-2022-31711 „mittel“, CVE-2022-31706 „kritisch“) in der Standardeinstellung des Logging-Tools ohne Authentifizierung kombinieren. Im Anschluss konnten sie eigenen Angaben zufolge Code mit Root-Rechten ausführen.
In ihrem Bericht listen sie auch Indicator of Compromise (IOC) auf, an denen Admins erkennen können, ob ihre Systeme bereits attackiert wurden. Die Sicherheitsforscher geben an, dass Angreifer für ein erfolgreiches Ausspielen der Payload eine nicht näher beschriebene Infrastruktur benötigen. Insgesamt sollen Attacken aber vergleichsweise einfach möglich sein. Ist eine Attacke erfolgreich, könnten Angreifer unter anderem API-Schlüssel und Session Tokens für weitere Zugriffe (Lateral movement) kopieren.
Jetzt updaten!
Zum Glück findet das Logging offensichtlich oft nur im LAN statt, sodass Attacken über das Internet nur eine vergleichsweise geringe Gefahr ausmachen. Die Forscher geben an, lediglich 45 Instanzen beobachtet zu haben, die öffentlich über das Internet erreichbar sind. Um die Lücken zu schließen, müssen Admins die vRealize-Log-Version 8.10.2 installieren. Die Schwachstellen sind seit vergangener Woche bekannt.
(des)