VMWare hefur tilkynnt um alvarlega veikleika í VMWare Aria Operations for Logs [1], VMWare Workstation og VMWare Fusion [2]. Misnotkun á veikleikunum getur leitt til þess að ógnaraðili geti keyrt kóða (e. code execution) og lesið úr minni yfirstýrikerfis (e. hypervisor).
Þann 16. október síðastliðinn varaði CERT-IS [4] við núlldagsveikleikanum CVE-2023-20198 í Cisco IOS XE með webui virkni uppsetta. Síðar hafa komið fram fréttir [5] um að veikleikinn hafi verið misnotaður frá því um miðjan september síðastliðinn, meðal annars til að koma fyrir óværum (e. implants). Cisco hefur gefið út uppfærða tilkynningu [6] þar sem upplýst er um nýjan núlldagsveikleika, CVE-2023-20273, sem er notaður samhliða CVE-2023-20198 í árásum [7]. Cisco hefur gefið út uppfærslur fyrir hluta af hugbúnaði (e. Software Release Train) en ekki allar. Leiðbeiningar um hvernig megi leita eftir vísum að innbrotum koma fram í tilkynningu frá Cisco [6] ásamt Snort reglum. Ítarlegri greining á aðferðum árásaraðila kemur fram í grein frá Talos [5] og CISA hefur gefið út leiðbeiningar [7] um hvernig er best að bregðast við veikleikanum.
CERT-IS mælir með að uppfæra eins fljótt og auðið er í útgáfur þar sem veikleikarnir hafa verið lagfærðir samkvæmt leiðbeiningum framleiðanda og fylgjast með frekari tilkynningum frá framleiðanda.
Vitað er til þess að veikleikar í Cisco IOS XE hafi verið misnotaðir, CERT-IS þekkir ekki til þess að veikleikar í VMWare hafi verið misnotaðir.
Alvarlegir veikleikar (e. critical)
CVE-2023-34051 (VMWare Aria Operations for Logs)
Veikleikinn CVE-2023-34051 er með CVSS einkunn 8.1 og gerir óauðkenndum ógnaraðila kleift að framkvæma innspýtingar í stýrikerfið (e. inject files into the operating system) sem getur leitt til þess að hægt sé að keyra kóða (e. code execution).
CVE-2023-34052 (VMWare Aria Operations for Logs)
Veikleikinn CVE-2023-34052 er með CVSS einkunn 8.1 og gerir auðkenndum ógnaraðila með réttindi (e. non-administrative access) að fara framhjá auðkenningu (e. bypass authentication).
CVE-2023-34044 (VMWare Workstation og VMWare Fusion)
Veikleikinn CVE-2023-34044 er með CVSS einkunn 7.1 og gerir ógnaraðila með kerfisstjóra réttindi (e. administrator privileges) á sýndarvél kleift að lesa gögn úr minni yfirstýrikerfis (e. read privileged information from hypervisor memory).
CVE-2023-20198 (Cisco IOS XE)
Veikleikinn CVE-2023-20198 er með CVSS einkunn 10.0 og gerir óauðkenndum ógnaraðila kleift að búa til aðgang með hæstu notendaréttindum (e. privilege level 15). Veikleikinn byggir á því að webui kerfiseiningin sé uppsett á búnaðinum.
CVE-2023-20273 (Cisco IOS XE)
Veikleikinn CVE-2023-20273 er með CVSS einkunn 7.2 og gerir ógnaraðila með aðgang að búnaðinum kleift að keyra kóða með kerfisstjóraréttindi (e. inject commands with elevated (root) privileges and run arbitrary commands).
Eftirfarandi kerfi eru veik fyrir göllunum:
VMware Aria Operations for Logs
Útgáfur 8.x lægri en 8.14
VMWare Cloud Foundation (VMware Aria Operations for Logs)
Útgáfur 4.x og 5.x
VMWare Workstation
Útgáfur 17.x lægri en 17.5
VMWare Fusion
Útgáfur 13.x lægri en 13.5
Cisco IOS XE
Útgáfur 16.12 lægri en 16.12.10a; útgáfur 17.3 lægri en 17.3.8a; útgáfur 17.6 lægri en 17.6.6a og útgáfur 17.9 lægri en 17.9.4a. Útgáfur 16.12 eiga við Catalyst 3650 og Catalyst 3850 eingöngu.
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
VMware Aria Operations for Logs
8.14
VMWare Cloud Foundation (VMware Aria Operations for Logs)
Sjá KB95212 [3]
VMWare Workstation
17.5
VMWare Fusion
13.5
Cisco IOS XE
Útgáfur 16.12.10a, 17.3.8a, 17.6.6a og 17.9.4a. Uppfærsla í útgáfu 17.9.4a er aðgengileg en Cisco hefur ekki gefið út dagsetningu fyrir aðrar uppfærslur [6].
Tilvísanir:
[1] https://www.vmware.com/security/advisories/VMSA-2023-0021.html
[2] https://www.vmware.com/security/advisories/VMSA-2023-0022.html
[3] https://kb.vmware.com/s/article/95212
[4] https://cert.is/frettir-og-tilkynningar/frettasafn/frett/fr%C3%A9ttir/alvarlegur-nulldagsveikleiki-i-cisco-ios-xe
[5] https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
[6] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z
[7] https://www.cisa.gov/guidance-addressing-cisco-ios-xe-web-ui-vulnerabilities