Nueva Prueba de Concepto (PoC) para la vulnerabilidad VMware vRealize Log Insight

TEAM CSIRT

VMware recientemente describió, en unas de sus publicaciones (VMSA-2023-0001), cuatro vulnerabilidades que afectan a VMware vRealize Log Insight.

  • CVE-2022-31706: Vulnerabilidad transversal de directorio de VMware vRealize Log Insight.
  • CVE-2022-31704: Vulnerabilidad de control de acceso rota de VMware vRealize Log Insight.
  • CVE-2022-31710: Vulnerabilidad de deserialización de VMware vRealize Log Insight.
  • CVE-2022-31711: Vulnerabilidad de divulgación de información de VMware vRealize Log Insight.

Puede revisar información adicional de estas vulnerabilidades en nuestro boletín emitido previamente.

Tres de estos CVE se pueden combinar para dar a un agente malicioso ejecución remota de código como root.

En un análisis técnico detallado de VMware vRealize Log Insight VMSA-2023-0001, desarrollado por HORIZON3.ai, se muestra como encadenar estas vulnerabilidades.

La vulnerabilidad transversal del directorio CVE-2022-31706 tiene una puntuación CVSS de 9.8, su objetivo principal es realizar un RCE mientras el CVE-2022-31704 y CVE-2022-31711, ayudan a explotar esta vulnerabilidad.

La descripción general de los pasos necesarios para encadenar las CVE y obtener ejecución remota de código, es la siguiente:

  • Crear un cliente Thrift que permita el acceso no autenticado al servidor Log Insight Thrift.
  • Crear un archivo tar malicioso que contiene un recorrido de directorio utilizando un archivo Pak válido.
  • Usar remotePakDownloadCommand, para subir el archivo Pak malicioso a /tmp/<filename>.pak.
  • Hacer que el archivo Pak se extraiga usando pakUpgradeCommand. Esto escribe el archivo en cualquier lugar deseado del sistema de archivos.

Recomendaciones

  • Actualizar el software de vRealize Log Insight a la última versión disponible o al menos a la 8.10.2 desde la página oficial.

Referencias