Vmware Privileged Guest Operations Zafiyeti

Vmware Privileged Guest Operations Zafiyeti

13 Haziran 2023'te yayınlanan zafiyete göre ele geçirilen ESXİ Host, Vmware Tools’un host-to-guest operasyonlarını doğrulamasına engel olma yoluyla guest sanal makinanın gizliliğini ve bütünlüğünü olumsuz etkileyebilir. (CVE-2023-20867 ), ( CVE-2022-22948)

Sırasıyla Saldırı Adımları:

• Saldırgan Vcenter üzerinde yetkili erişim sağlaması
• Vcenter üzerinde konumlandırılaran" vpxuser" kimlik bilgilerinin çekilmesi
• Çalınan kullanıcı bilgileri ile ESXI host'larına erişim sağlaması
• ESXI hostuna zararlı VIB (vSphere Installation Bundle) deployment'ının gerçekleştirilmesi
• VIRTUALPITA ve VIRTUALPIE kullanılarak backdoor yerleştirilmesi
• CVE-2023-20867 zaafiyetinin ifşa, edilen ESXI host'larında kullanılarak guest VM'lerde unauthenticated komut çalıştırmak.

Etkilenen Sistemler

CVE-2022-22948 zaafiyeti ile encrypted "vpxuser" kimlik bilgilerinin açık metin olarak elde edilmesine sebebiyet veren zaafiyet Vmware vCenter Server 6.5/6.7/.70 versiyonlarında etkilidir;

IoC’ler

-

Çözüm Önerileri

Eğer sanallaştırma ortamında belirtilen versiyonlarda Vcenter bulunmaktaysa versiyonun yamalanarak ilgili zaafiyetin kapatılması tavsiye edilmektedir.

Tedbirler

CVE-2023-20867 VM'ler üzerinde uzaktan komut çalıştırılmasını sağlayan zaafiyet için vmware tüm müşterilerinin Vmware tool'larının update edilmesini ve yayınladıkları sıkılaştırma dokümantasyonu çevresinde sanallaştırma ortamlarındaki gerekli sıkılaştırmaların yapılmasını tavsiye etmektedir;

CVE / CWE

CVE-2023-20867, CVE-2022-22948

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2023-20867
• https://www.vmware.com/security/advisories/VMSA-2023-0013.html
• https://nvd.nist.gov/vuln/detail/CVE-2022-22948
• https://www.vmware.com/security/advisories/VMSA-2022-0009.html

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.