VMware 证实其 Aria Operations for Networks 工具存在被利用的漏洞

关键要点

• VMware 确认其 Aria Operations for Networks 工具中的一个命令注入漏洞正在被攻击者利用。
• 该漏洞被追踪为 ，CVSS 得分为 9.8，允许攻击者远程执行代码。
• 研究人员在 GitHub 上发布了一个利用该漏洞的概念证明（PoC），随即观察到了实际的利用尝试。
• VMware 建议用户及时应用补丁以保护环境。

VMware 已确认，其 Aria Operations for Networks 工具中最近修补的一个关键命令注入漏洞正在被实际利用。该确认是在 GitHub 上公布攻击技术的概念验证（PoC）一周后发出的，且在研究人员报告观察到利用此 PoC 代码的尝试后五天内做出的。

该被利用的漏洞是 VMware 在 6 月 7 日披露的三项高危漏洞之一，CVSS 得分为 9.8，使攻击者得以在目标系统上远程执行代码。AriaOperations for Networks 监控工具（之前称为 vRealize NetworkInsight）用于提供“网络可视化和分析，以加速微分段安全、在应用迁移时最小化风险、优化网络性能，并自信地管理和扩展 VMware NSX、VMwareSD-WAN 和 Kubernetes 部署”。

补丁发布前未发现利用行为

在本月早些时候，VMware 宣布了三项补丁，并建议客户“及时应用以保护其环境”，但当时表示未发现任何漏洞被利用的案例。然而在周二，VMware 更新了其 ，确认“CVE-2023-20887的攻击行为已经发生”。

在 6 月 7 日披露的三项漏洞均由 Trend Micro 的 Zero Day Initiative 发现。另两项漏洞包括 ，它是一个身份验证反序列化漏洞，CVSS得分为 9.1，以及 ，允许命令注入攻击并可能导致信息泄露，得分为 8.8。

CVE-2023-20888 和 CVE-2023-20889 是由安全研究员 发现的，而 CVE-2023-20887是由一位匿名研究员报告的。在 中，Kheirkhah 表示，在与 Zero Day Initiative合作期间，他也发现并报告了 CVE-2023-20887，但“我被一位匿名研究员超越了，他先报告了该漏洞”。他的文章分析了该漏洞，并提供了 CVE-2023-20887 的概念证明。

“该漏洞由两个问题链组成，导致远程代码执行 (RCE)，可以被未经过身份验证的攻击者利用，”他写道。

PoC 发布后出现攻击

Kheirkhah 还在 GitHub 上发布了 PoC 代码，并解释了 Aria Operations for Networks 工具在通过 ApacheThrift RPC（远程过程调用）接口接受用户输入时，“存在命令注入漏洞”。

“该漏洞允许远程未经过身份验证的攻击者以 root 用户身份在底层操作系统上执行任意命令。RPC 接口由反向代理保护，但可以被绕过。”

两天后，GreyNoise 研究分析师 Jacob Fisher 发布了一篇博客，提到了 Kheirkhah 的 PoC。

“在撰写本文时，我们观察到了利用上述概念证明代码的尝试大规模扫描活动，试图启动一个反向 shell 连接到一个攻击者控制的服务器，以接收进一步的命令，”Fisher 写道。

GreyNoise 在 6 月 13 日设立了一个标签，跟踪与尝试利用 CVE-2023-20887 相关