VMware hat am Dienstag Software zur Behebung von vier Sicherheitslücken veröffentlicht, die vRealize Log Insight (auch bekannt als Aria Operations for Logs) betreffen und Anwender für Angriffe mit Remotecodeausführung anfällig machen könnten.
Zwei der Schwachstellen sind kritisch und werden mit einem Schweregrad von 9,8 von maximal 10 bewertet, so der Virtualisierungsdienstleister in seinem ersten Sicherheitsbulletin für das Jahr 2023.
Die als CVE-2022-31706 und CVE-2022-31704 bezeichneten Schwachstellen können von einem Angreifer ausgenutzt werden, um entfernte Codeausführung zu erreichen, unabhängig vom Unterschied im Angriffsweg.
„Ein nicht authentifizierter, böswilliger Akteur kann Dateien in das Betriebssystem einer betroffenen Appliance einschleusen, was zu einer Remotecodeausführung führen kann“, so das Unternehmen zu den beiden Schwachstellen.
Eine dritte Schwachstelle betrifft einen Deserialisierungsfehler (CVE-2022-31710, CVSS-Score: 7.5), der von einem nicht authentifizierten Angreifer ausgenutzt werden kann, um einen Denial-of-Service (DoS)-Zustand auszulösen.
Schließlich wurde vRealize Log Insight auch für einen Fehler bei der Offenlegung von Informationen anfällig (CVE-2022-31711, CVSS-Score: 5.3), der den Zugriff auf sensible Sitzungs- und Anwendungsdaten ohne jegliche Authentifizierung ermöglichen könnte.
Die Zero Day Initiative (ZDI) wurde für die Meldung aller Schwachstellen verantwortlich gemacht. VMware hat nicht nur die Version 8.10.2 veröffentlicht, um die Probleme zu beheben, sondern auch Workarounds zur Verfügung gestellt, um sie zu entschärfen, bis die Patches angewendet werden können.
Es gibt zwar keine Anzeichen dafür, dass die oben genannten Schwachstellen in freier Wildbahn ausgenutzt wurden, aber es ist nicht ungewöhnlich, dass Bedrohungsakteure VMware-Appliances zum Ziel ihrer Angriffe machen, so dass es von entscheidender Bedeutung ist, dass die Korrekturen so bald wie möglich angewendet werden.
Sie fanden diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
DragonSpark-Hacker entgehen der Entdeckung mit SparkRAT und Golang