El proveedor de servicios de virtualización, VMware, ha emitido una advertencia a sus clientes acerca de la existencia de la prueba de concepto (PoC) de un exploit relacionado con una vulnerabilidad recientemente corregida en «Aria Operations for Logs».
Esta vulnerabilidad, identificada como CVE-2023-34051 y con una puntuación CVSS de 8.1, se considera de alta severidad debido a que podría permitir la ejecución de código remoto y omitiendo además cualquier tipo de autenticación.
«Un actor malicioso no autenticado podría inyectar archivos en el sistema operativo de un dispositivo afectado, lo que potencialmente desencadenaría la ejecución de código remoto».
Afirma VMware en su aviso
James Horseman de Horizon3.ai y el equipo de ataque de Randori han sido reconocidos por descubrir y reportar esta vulnerabilidad. Horizon3.ai incluso ha proporcionado una PoC para la vulnerabilidad, lo que ha llevado a VMware a actualizar su advertencia esta semana.
Es fundamental destacar que la CVE-2023-34051 representa un desafío adicional, ya que es un «bypass» del parche para un conjunto de vulnerabilidades críticas que VMware había abordado a principios de enero. Estas vulnerabilidades podrían exponer a los usuarios a ataques de ejecución de código remoto.
Según Horseman, este bypass del parche no sería muy difícil de realizar para un atacante. Esto resalta la importancia de la implementación de una estrategia de defensa en profundidad, ya que no se puede depender únicamente de los parches oficiales para mitigar completamente una vulnerabilidad.
La divulgación de esta información coincide con un aviso de Citrix, en el que insta a sus clientes a aplicar correcciones para la CVE-2023-4966, que tiene una puntuación CVSS de 9.4 y afecta a NetScaler ADC y NetScaler Gateway. Esta vulnerabilidad crítica ha sido objeto de explotación activa.
Citrix informó que han recibido informes creíbles de ataques dirigidos que aprovechan esta vulnerabilidad, corroborando un informe de Mandiant. Debido a la existencia de una PoC del exploit (llamada «Citrix Bleed«) es probable que aumente los esfuerzos de explotación en los próximos días.
«Aquí vimos un ejemplo interesante de una vulnerabilidad causada por no comprender completamente snprintf. A pesar de que snprintf se recomienda como la versión segura de sprintf, todavía es importante tener cuidado. Se evitó un desbordamiento de búfer utilizando snprintf, pero el exceso de lectura de búfer subsiguiente seguía siendo un problema».
Dylan Pindur, investigador de Assetnote
La explotación activa de la CVE-2023-4966 ha llevado a la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) a incluirla en el catálogo de Vulnerabilidades Conocidas Explotadas (KEV).
Estos desarrollos también siguen al lanzamiento de actualizaciones para tres vulnerabilidades críticas de ejecución de código remoto en SolarWinds Access Rights Manager (CVE-2023-35182, CVE-2023-35185 y CVE-2023-35187, con puntuaciones CVSS de 9.8). Estas vulnerabilidades podrían permitir a los atacantes remotos ejecutar código con privilegios del sistema.
Más información:
- https://www.vmware.com/security/advisories/VMSA-2023-0021.html
- https://github.com/horizon3ai/CVE-2023-34051
- https://www.horizon3.ai/vmware-aria-operations-for-logs-cve-2023-34051-technical-deep-dive-and-iocs/
- https://www.netscaler.com/blog/news/cve-2023-4966-critical-security-update-now-available-for-netscaler-adc-and-netscaler-gateway/
- https://github.com/assetnote/exploits/tree/main/citrix/CVE-2023-4966
- https://www.assetnote.io/resources/research/citrix-bleed-leaking-session-tokens-with-cve-2023-4966
- https://www.cisa.gov/news-events/alerts/2023/10/19/cisa-adds-two-known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://documentation.solarwinds.com/en/success_center/arm/content/release_notes/arm_2023-2-1_release_notes.htm
- https://www.zerodayinitiative.com/advisories/ZDI-23-1564/
- https://www.zerodayinitiative.com/advisories/ZDI-23-1565/
- https://www.zerodayinitiative.com/advisories/ZDI-23-1567/
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2023-35182
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2023-35185
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2023-35187
La entrada Citrix y VMware advierten sobre PoC de exploits relacionados con vulnerabilidades críticas se publicó primero en Una al Día.