На прошлой неделе разработчики VMware исправили критическую уязвимость в Aria Operations for Networks (ранее vRealize Network Insight), связанную с обходом SSH-аутентификации. После анализа патча, специалист Summoning Team создал PoC-эксплоит для свежей проблемы.
Уязвимость получила идентификатор CVE-2023-34039 и набрала 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Проблема была связана с обходом аутентификации, который, согласно заявлению производителя, возможен в виду отсутствия генерации уникального криптографического ключа.
«Злоумышленник, имеющий сетевой доступ к Aria Operations for Networks, может обойти аутентификацию SSH, чтобы получить доступ к Aria Operations for Networks CLI», — писали разработчики VMware на прошлой неделе.
То есть эксплуатация CVE-2023-34039 может привести к краже или изменению данных через интерфейс командной строки продукта. В зависимости от конфигурации, такой взлом может повлечь за собой нарушение работы сети, изменение настроек, установку вредоносного ПО и боковое перемещение злоумышленника по сети.
После выхода исправления VMware настоятельно рекомендовала пользователям как можно скорее применить патчи для Aria Operations for Networks версий 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 и 6.10.
Теперь в VMware предупреждают, что код PoC-эксплоита для CVE-2023-34039 уже доступен в сети и появился всего через два дня после раскрытия информации об уязвимости.
Эксплоит нацелен на все версии Aria Operations for Networks с 6.0 по 6.10, и был создан исследователем Summoning Team Синой Хейрха (Sina Kheirkhah).
По словам эксперта, который отреверсил патчи VMware, первопричиной проблемы являются жестко закодированные SSH-ключи, сохранившиеся после того, как VMware «забыла» их перегенерировать.
Корень проблемы кроется в bash-скрипте, содержащем метод refresh_ssh_keys(), который отвечает за перезапись текущих SSH-ключей для пользователей support и ubuntu в файле authorized_keys. То есть SSH-аутентификация в целом работает, но новые ключи не генерируются, а вместо них используются жестко заданные.
«Интересно, что VMware характеризует эту проблему как обход сетевой SSH-аутентификации. Но SSH-аутентификация на месте, а VMware забыла перегенерировать ключи. VMware Aria Operations for Networks в версиях от 6.0 до 6.10 имеет жестко закодированные ключи. Каждая версия VMware Aria Operations for Networks имеет свой уникальный SSH-ключ, и чтобы создать полнофункциональный эксплоит, мне пришлось собрать все ключи от разных версий продукта», — объясняет исследователь.