Peringatan: Eksploitasi PoC Dirilis untuk Kerentanan Citrix dan VMware

 

Penyedia layanan virtualisasi VMware telah memperingatkan pelanggan tentang adanya eksploitasi bukti konsep (PoC) untuk kelemahan keamanan yang baru-baru ini ditambal di Aria Operations for Logs.

 Dilacak sebagai CVE-2023-34051 (skor CVSS: 8.1), kerentanan dengan tingkat keparahan tinggi berkaitan dengan kasus bypass autentikasi yang dapat menyebabkan eksekusi kode jarak jauh.

 “Seorang aktor jahat yang tidak diautentikasi dapat memasukkan file ke dalam sistem operasi perangkat yang terkena dampak, sehingga mengakibatkan eksekusi kode jarak jauh,” kata VMware dalam pemberitahuannya pada 19 Oktober 2023.

 James Horseman dari Horizon3.ai dan Tim Serangan Randori telah berjasa menemukan dan melaporkan kelemahan tersebut. Horizon3.ai telah menyediakan PoC untuk kerentanan tersebut, sehingga mendorong VMware untuk merevisi sarannya minggu ini.

 Perlu dicatat bahwa CVE-2023-34051 adalah bypass patch untuk serangkaian kelemahan kritis yang telah diatasi oleh VMware pada awal Januari ini yang dapat membuat pengguna terkena serangan eksekusi kode jarak jauh.

“Patch bypass ini tidak akan terlalu sulit ditemukan oleh penyerang,” kata Horseman. “Serangan ini menyoroti pentingnya pertahanan yang mendalam. Seorang pembela HAM tidak selalu bisa percaya bahwa patch resmi dapat sepenuhnya memitigasi kerentanan.”

 Pengungkapan ini terjadi ketika Citrix merilis sebuah nasihatnya sendiri, yang mendesak pelanggan untuk menerapkan perbaikan untuk CVE-2023-4966 (skor CVSS: 9.4), kerentanan keamanan kritis yang memengaruhi NetScaler ADC dan NetScaler Gateway yang telah dieksploitasi secara aktif di alam liar.

 “Kami sekarang memiliki laporan mengenai insiden yang konsisten dengan pembajakan sesi, dan telah menerima laporan yang dapat dipercaya mengenai serangan yang ditargetkan yang mengeksploitasi kerentanan ini,” kata perusahaan tersebut minggu ini, menguatkan laporan dari Mandiant milik Google.

 Upaya eksploitasi juga kemungkinan akan meningkat dalam beberapa hari mendatang mengingat tersedianya eksploitasi PoC, yang disebut Citrix Bleed. “Di sini kami melihat contoh menarik tentang kerentanan yang disebabkan oleh tidak sepenuhnya memahami snprintf,” kata peneliti Assetnote Dylan Pindur.

"Meskipun snprintf direkomendasikan sebagai versi sprintf yang aman, tetap penting untuk berhati-hati. Buffer overflow dapat dihindari dengan menggunakan snprintf tetapi buffer over-read berikutnya masih menjadi masalah."

 Eksploitasi aktif CVE-2023-4966 telah mendorong Badan Keamanan Siber dan Infrastruktur AS (CISA) untuk menambahkannya ke katalog Kerentanan yang Dieksploitasi yang Diketahui (KEV), sehingga lembaga federal di AS harus menerapkan patch terbaru paling lambat tanggal 8 November 2023.

 Perkembangan terbaru juga mengikuti rilis pembaruan untuk tiga kerentanan kritis eksekusi kode jarak jauh di SolarWinds Access Rights Manager (CVE-2023-35182, CVE-2023-35185, dan CVE-2023-35187, skor CVSS: 9.8) yang dapat dilakukan oleh penyerang jarak jauh. gunakan untuk menjalankan kode dengan hak istimewa SISTEM.