Sono stati pubblicati alcuni exploit per una vulnerabilità di esecuzione di codice da remoto pre autenticato che consentirebbero di eseguire codice arbitrario da remoto con privilegi di root su dispositivi Cloud Foundation e NSX Manager non patchati.
La vulnerabilità CVE-2021-3914: qualche info tecnica
La vulnerabilità in questione è la CVE-2021-39144, che si trova nella libreria open source XStream, utilizzata in due prodotti WMware. Ha un punteggio di 9,8 su 10, livello critico: per VMware è così rischiosa che il vendor ha deciso di pubblicare le patch perfino per una serie di prodotti end-of-life.
Attori non autenticati potrebbero sfruttarla da remoto, con un attacco tutto sommato piuttosto semplice che non richiede l'interazione dell'utente.
VMware è intervenuta già sul problema, pubblicando un alert di sicurezza relativo alla CVE-2021-39144: qui l'alert. La vulnerabilità è già stata risolta, per gli utenti sarà sufficiente l'aggiornamento di XStream alla versione 1.4.19. Contestualmente VMware consiglia anche di patchare una seconda falla, la CVE-2022-31678 che innescare DoS o esporre informazioni in seguito ad attacchi XXE (XML External Entity).
Pubblicati gli exploit per la CVE-2021-39144
Il giorno stesso in cui VMware ha pubblicato l'avviso di sicurezza, sono usciti alcuni Exploit. Uno è stato pubblicato dal ricercatore Sina Kheirkhah che ha spiegato che
"un attaccante può inviare un inviare un payload XStream appositamente predisposto, con un proxy dinamico e attivare l'esecuzione di codice remoto nel contesto di root".
 |
| Fonte: Bleeping Computer |
Il giorno dopo VMware ha anche aggiornato il suo alert, confermando che il codice di exploit pubblicato può sfruttare la CVE-2022-39144 con successo.
Nessun commento:
Posta un commento