Um código de exploração de prova de conceito (PoC) está disponível para uma vulnerabilidade de execução remota de código (RCE) de pré-autenticação em appliances não corrigidos no VMware Cloud Foundation (VCF) e NSX Manager. A falha, rastreada como CVE-2021-39144, está na biblioteca de código aberto XStream usada nos dois produtos da VMware e recebeu score de 9.9/10 no sistema de pontuação comum de vulnerabilidades (CVSS).
A vulnerabilidade pode permitir que invasores executem código arbitrário remotamente com privilégios de acesso root (privilégio de superadministrador do sistema). Ou seja, operadores de ameaças não autenticados podem explorá-la remotamente em ataques de baixa complexidade, que não exigirão interação do usuário.
A VMware lançou atualizações de segurança para resolver a falha relatada pelos pesquisadores de segurança Sina Kheirkhah, da MDSec, e Steven Seeley, da Source Incite. Devido à gravidade do problema, a empresa também forneceu patches para alguns produtos em fim de vida.
O pesquisador Kheirkhah também publicou o código de exploração de prova de conceito (PoC) e uma análise técnica da vulnerabilidade no blog de Seeley. “Um invasor pode enviar carga útil empacotada XStream especialmente criada com um proxy dinâmico e acionar a execução remota de código no contexto da raiz”, explicou.
Veja isso
Novo ransomware mira servidores Windows e Linux VMware ESXi
Hackers continuam a explorar bug Log4Shell no VMware Horizon
Na sexta-feira, 28, a VMware também atualizou seu comunicado para confirmar que “o código de exploração da CVE-2022-39144 contra o VCF (NSX-V) foi publicado”. A fornecedora também compartilhou uma solução temporária para administradores que não podem implantar atualizações de segurança imediatamente para corrigir seus dispositivos.
De acordo com as etapas detalhadas em um documento de suporte separado, os administradores devem fazer login em cada máquina virtual do gerenciador de SDDC (Software-Defined Data Center) em seu ambiente Cloud Foundation via SSH (Secure Shell) e sudo na conta root.
Em seguida, os administradores precisam atualizar a biblioteca XStream para a versão 1.4.19 aplicando um hot patch do NSX for vSphere (NSX-V) para remover o vetor de ataque. No entanto, ao contrário da aplicação das atualizações de segurança CVE-2021-39144, a solução alternativa exigirá que os administradores passem por esse procedimento toda vez que “um novo domínio de carga de trabalho VI for criado”.