Компания VMware обновила опубликованный две недели назад совет по безопасности, чтобы предупредить клиентов о том, что исправленная критическая уязвимость, позволяющая удаленное выполнение кода, активно используется в атаках.
В данной статье речь пойдет о:
VMware обновляет совет по безопасности из-за активных атак
Уязвимость CVE-2023-20887 и активные атаки
Компания VMware обновила консультацию по безопасности, опубликованную две недели назад, чтобы предупредить клиентов о том, что исправленная критическая уязвимость, позволяющая удаленное выполнение кода, активно используется в атаках. Уязвимость, CVE-2023-20887, затрагивает VMware Aria Operations for Networks, программное приложение, которое помогает организациям управлять и контролировать свою сетевую инфраструктуру.
Уязвимость позволяет злоумышленнику, имеющему сетевой доступ к уязвимому устройству, выполнять произвольные команды на базовой операционной системе. Это может позволить злоумышленнику получить контроль над устройством, украсть конфиденциальные данные или нарушить работу сети.
VMware подтвердила, что эксплуатация CVE-2023-20887 имеет место в природе. Компания выпустила исправление для этой уязвимости, и клиентам настоятельно рекомендуется как можно скорее применить патч.
Предупреждения от GreyNoise
Это уведомление последовало за несколькими предупреждениями от компании GreyNoise. Первое предупреждение было выпущено через неделю после исправления уязвимости VMware 15 июня. Исследователь безопасности Син Кхейрхах также поделился техническими деталями и кодом эксплойта всего через два дня после этого.
Массовое сканирование и вредоносная активность
Аналитик GreyNoise, Джейкоб Фишер, сообщил о попытках массового сканирования с использованием кода Proof-Of-Concept, направленных на запуск обратной оболочки, связывающейся с сервером, контролируемым злоумышленником. Генеральный директор GreyNoise, Эндрю Моррис, предупредил администраторов VMware об этой продолжающейся вредоносной активности.
Уязвимость в VMware Aria Operations for Networks
Уязвимость затрагивает инструмент сетевой аналитики VMware Aria Operations for Networks (ранее известный как vRealize Network Insight). Атаки, использующие эту уязвимость, позволяют неавторизованным угрозам выполнять команды на базовой операционной системе без взаимодействия с пользователем.
Помимо применения исправления, клиентам также следует принять меры по повышению безопасности своих устройств VMware Aria Operations for Networks. Эти шаги включают в себя:
- Включение аутентификации и авторизации для устройства.
- Использование надежных паролей для устройства.
- Обновление устройства последними исправлениями безопасности.
- Клиенты, которые еще не применили исправление для CVE-2023-20887, должны сделать это как можно скорее. Заплату можно найти на сайте VMware.
Рекомендации для пользователей
- Если вы используете VMware Aria Operations for Networks, вам следует немедленно применить исправление CVE-2023-20887.
- Если вы не можете применить исправление, вам следует отключить доступ к устройству из Интернета.
- Также следует просмотреть настройки безопасности устройства и убедиться, что они настроены правильно.
- Если у вас возникли вопросы или проблемы, обратитесь в службу поддержки VMware.
Рекомендации для ИТ-специалистов
- Если вы отвечаете за управление устройствами VMware Aria Operations for Networks, вам следует убедиться, что ваши пользователи знают об уязвимости CVE-2023-20887 и о том, какие шаги они могут предпринять для защиты.
- Также необходимо отслеживать сеть на наличие признаков эксплуатации уязвимости.
- Если вы подозреваете, что ваше устройство было взломано, следует немедленно изолировать его от сети и обратиться в службу поддержки VMware.
Необходимость установки исправлений
Обходных путей устранения вектора атаки для уязвимости CVE-2023-20887 не существует, поэтому администраторам необходимо установить исправления на все локальные установки VMware Aria Operations Networks 6.x, чтобы обезопасить их от продолжающихся атак. Полный список исправлений безопасности для всех уязвимых версий Aria Operations for Networks доступен на сайте VMware Customer Connect.