Jetzt aktualisieren! Proof-of-Concept für kritische VMware-Aria-Lücke
Vergangene Woche hat VMware Updates zum Schließen einer kritischen Sicherheitslücke herausgegeben. Jetzt ist ein Proof-of-Concept verfügbar. Zeit fürs Update!
VMware hat in Aria Operations for Networks – zuvor unter dem Namen vRealize Network Insights bekannt – mit aktualisierter Software vergangene Woche eine kritische Sicherheitslücke geschlossen. Ein IT-Forscher hat die Patches untersucht und darauf basierend einen Proof-of-Concept zum Ausnutzen der Sicherheitslücke veröffentlicht: Es handelt sich um fest einprogrammierte SSH-Schlüssel.
VMware hatte die Lücke etwas schwammig beschrieben: "Angreifer mit Netzwerkzugriff auf Aria Operations for Networks können die SSH-Authentifizierung umgehen und Zugriff auf das Kommandozeilen-Interface erhalten. Und zwar aufgrund des Fehlens der Erstellung eines einzigartigen kryptografischen Schlüssels" (CVE-2023-34039, CVSS 9.8, Risiko "kritisch").
VMware-Sicherheitslücke: Hardkodierte SSH-Schlüssel
Der IT-Forscher, der sich schlicht Sina nennt, hat von der Beschreibung auf fest einprogrammierte SSH-Schlüssel in der Software geschlossen. Bei der Untersuchung der von VMware bereitgestellten Patches fand er ein Skript, das die SSH-Schlüssel der Nutzerkonten support und ubuntu erneuerte. Beide Konten haben denselben Schlüssel und gehören der sudoers-Gruppe an, die erweiterte Rechte im System anfordern darf.
Die Herausforderung bestand laut Beschreibung von Sina darin, die unterschiedlichen VMware Aria Operations for Networks-Versionen zu finden und zu installieren, da jeder Versionsstand eigene SSH-Schlüssel mitbringt. Der IT-Forscher hat Schlüssel der Versionen 6.0 bis 6.10 sammeln können, Version 6.11 ist bereits abgesichert. VMware Aria Operations for Networks basiert auf zwei Knoten, "Platform" und "Collector". Dabei handele es sich im Kern um zwei unterschiedliche Maschinen. Der Proof-of-Concept-Exploit-Code enthalte die SSH-Keys für beide Versionen über alle Versionen. Diese liegen zusammen mit dem PoC-Exploit-Skript in einem Github-Projekt.
IT-Verantwortliche, die die bereitstehenden Aktualisierungen noch nicht installiert haben, sollten das jetzt schleunigst nachholen. Sie laufen sonst Gefahr, dass die VMware Aria Operations for Networks-Systeme von Angreifern kompromittiert werden.
(dmk)
