Según la alerta emitida por los investigadores de Akamai, una vulnerabilidad solucionada este mes en VMware Aria Operations for Networks, anteriormente vRealize Network Insight, ahora está en operación masiva. Clasificada como crítica, la falla permite la ejecución remota de código mediante inyección de comandos. "Los últimos datos de Akamai indican un escaneo activo de sitios vulnerables a CVE-2023-20887, mucho más allá de lo que se informó inicialmente", dijeron los investigadores de Akamai por correo electrónico. "Hasta ahora, hemos contabilizado un total de 695.072 ataques por 508 direcciones IP únicas", agregaron. Akamai también observó que se escanearon más de 27.000 de los sitios de sus clientes.

Índice
  1. Otras fallas en las operaciones de VMware Aria
  2. Varias vulnerabilidades solucionadas en vCenter

Otras fallas en las operaciones de VMware Aria

VMware lanzó correcciones para la vulnerabilidad CVE-2023-20887 el 7 de junio, junto con correcciones para otras dos fallas en Aria Operations for Networks, una de las cuales también es crítica y puede conducir a la ejecución remota de código. Si bien CVE-2023-20887 es una falla de inyección de comandos, la segunda vulnerabilidad, CVE-2023-20888, se debe a un problema de deserialización. En los lenguajes de programación, la serialización es el proceso de transformar datos en un flujo de bytes para transmitirlos a otra aplicación y la deserialización es lo contrario de este proceso. Debido a que las rutinas de deserialización implican el análisis y la interpretación de datos controlados por el usuario, son la fuente de muchas vulnerabilidades. Los atacantes pueden explotar CVE-2023-20887 y CVE-2023-20888 si tienen acceso de red a la aplicación vulnerable. Sin embargo, este último también requiere que el atacante tenga los identificadores del “miembro” para llevar a cabo el ataque, lo que complica su explotación. La tercera vulnerabilidad, denominada CVE-2023-20889, es una vulnerabilidad de inyección de comandos que puede conducir a la divulgación de información confidencial. Se le asigna una puntuación de 8,8 (alta) en la escala de gravedad CVSS.

VMware aconseja a sus clientes que implementen los parches disponibles para su respectiva versión lo antes posible. El proveedor actualizó su aviso el 13 de junio para advertir que se había publicado un código de explotación para la falla CVE-2023-20887, y luego el 20 de junio para advertir que la explotación activa de esta falla estaba ocurriendo en la naturaleza. Según Akamai y los datos de telemetría del servicio de monitoreo de ataques GreyNoise, la cantidad de ataques ha aumentado desde entonces. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado la vulnerabilidad con referencia CVE-2023-20887 a su catálogo de vulnerabilidades explotadas activamente, así como fallas de iOS explotadas en parte de la Operación Triangulación y una vulnerabilidad de inyección de comandos en dispositivos de almacenamiento conectados a la red Zyxel. . También se agregó al catálogo una falla de omisión de autenticación en VMware Tools (CVE-2023-20867) después de haber sido explotada como día cero por un actor de ciberespionaje chino para ejecutar comandos dentro de máquinas invitadas virtuales desde un host comprometido.

Varias vulnerabilidades solucionadas en vCenter

La semana pasada, VMware también lanzó correcciones para cinco vulnerabilidades identificadas en su producto vCenter Server que permite a los administradores administrar infraestructura virtual: CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE -2023-20895 y CVE- 2023-20896. Calificados con un nivel de gravedad de 8,1 (alto) en la escala CVSS, los primeros cuatro fallos pueden provocar la ejecución de código arbitrario, corrupción de la memoria y omisión de autenticación. En cuanto al quinto fallo, al que se le ha asignado una puntuación de gravedad de 5,9, su explotación puede provocar una denegación de servicio. Aunque no hay informes de que estas vulnerabilidades hayan sido explotadas en la naturaleza, los atacantes se han centrado en fallas en los productos VMware. Se recomienda a los usuarios del editor que implementen las correcciones disponibles lo antes posible.