VMware vRealize Log Insight 存在的漏洞风险

关键要点

Horizon3ai 发布了针对 VMware vRealize Log Insight 的漏洞证明概念，能导致远程代码执行。VMware 已发布补丁和应对措施以修复这些漏洞。漏洞 CVE202231706 和 CVE202231704 被评为严重性 98，攻击复杂度低。攻击者能够利用这些漏洞在受影响的设备上进行远程代码执行。

Horizon3ai 最近发布了一项针对 VMware vRealize Log Insight现称 VMware Aria Operations for Logs漏洞的证明概念PoC，表明攻击者能够利用这些缺陷实施远程代码执行RCE，并获取系统的根权限。

VMware 在上周发布了针对这些漏洞的补丁和应对措施，这些漏洞是由零日漏洞倡议ZDI在去年夏天报告给他们的。

在接受 SC 媒体采访时，Horizon3ai 的漏洞开发人员 James Horseman 表示，团队选择关注 VMware 日志管理相关的通用漏洞和暴露CVE，是因为这些漏洞具有高危和低复杂度的特征。

Horseman 提到，四个指定的 CVE 中有两个 CVE202231706 和 CVE202231704 被评为严重性 98，这接近最高分 10。CVE 的高评分表示复杂度低，这意味着攻击者可以更轻松地利用这些漏洞。

根据 NIST 的描述，CVE202231706 是一个目录遍历漏洞，未授权的恶意用户可以将文件注入受影响设备的操作系统，这可能导致远程代码执行。而 CVE202231074 被描述为访问控制漏洞，未授权的恶意用户可以远程注入代码到敏感文件中，潜在地导致 RCE。

Horseman 表示，Horizon3ai 利用了目录遍历和访问控制漏洞，以及一个信息泄露漏洞 未经身份验证的恶意用户可以远程收集敏感会话和应用信息CVE202231711来构建该攻击。

“我们比较了已经修补的 CVE 版本和未修补的 CVE 版本，确定安全团队需要考虑修补这些漏洞或部署 VMware 发布的应对措施，”Horseman 说。“公司可能需要修补大约 80000 个漏洞，他们该如何知道优先处理哪些？这就是我们发布这些 PoC 的原因。我们通过攻击系统并展示你该如何操作，帮助你优先修复需要解决的问题。”

网络魔法梯子

Coalfire 副总裁 Andrew Barratt 表示，这个 CVE 被高度评级是因为其 RCE 能力。Barratt 认为，这个漏洞本质上允许全面控制。然而，他指出，这并不是设计上就打算暴露在互联网中的。一旦入侵者通过其他机制获得初始访问权限，这种漏洞可能成为横向移动或“持久性”攻击的基础。

“这些类型的攻击有时会被漏洞管理人员忽视，因为他们错误地优先考虑了‘我们不暴露这个’的思维方式，”Barratt 表示。“现实是，攻击者通常不会通过可被利用的漏洞获得访问权限，通常会利用钓鱼或其他凭证基础的攻击。但获取系统的根访问权限，并以此为基础进行进一步的内部攻击可能会造成严重破坏，特别是在那些因提供服务而与更广泛基础设施‘设计上’紧密相连的系统中。”