شرکت VMware نسبت به احتمال سوءاستفاده هکرها از آسیب‌پذیری به وجود آمده در محصول vReality این شرکت به کاربران هشدار داد.
 
به گزارش افتانا به نقل از بلیپینگ کامپیوتر، وی‌ام‌ور (VMware) یک توصیه‌نامه امنیتی که دو هفته پیش منتشر شده بود را به‌روز کرد تا به مشتریان هشدار دهد یک آسیب‌پذیری بحرانی وصله شده که امکان اجرای کد از راه دور را به مهاجمان می‌دهد، به‌طور فعال در حملات مورد سوءاستفاده قرار می‌گیرد.
 
این شرکت تایید کرده است که سوءاستفاده از آسیب‌پذیری CVE-2023-20887 همچنان ادامه دارد.
 
این اخطار به دنبال هشدارهای متعدد از سوی شرکت امنیت سایبری GreyNoise است، اولین هشداری که یک هفته پس از اصلاح نقص امنیتی VMware در ۱۵ ژوئن و تنها دو روز پس از به اشتراک گذاشتن جزئیات فنی و کد سوءاستفاده (Exploit Code) شواهد (POC) توسط محقق امنیتی سینا خیرخواه، صادر شد.
 
جیکوب فیشر، تحلیلگر شرکت GreyNoise اظهار داشت: ما تلاش‌های انبوهی را با استفاده از کد POC ذکر شده در بالا در راستای تلاش برای راه اندازی یک Shell معکوس مشاهده کرده‌ایم که به سرور کنترل شده توسط مهاجم متصل می‌شود تا دستورات بیشتری دریافت کند.
 
اندرو موریس، مدیر عامل شرکت GreyNoise نیز اوایل امروز (۲۰ ژوئن ۲۰۲۳) به مدیران VMware در مورد این فعالیت مخرب مدام هشدار داد، که احتمالاً VMware را وادار کرد تا توصیه نامه خود را به روزرسانی کند.
 
درحال حاضر شرکت GreyNoise یک برچسب اختصاصی برای کمک به ردیابی آدرس‌های IP مشاهده شده در هنگام تلاش برای سوء استفاده (exploit) از آسیب‌پذیری CVE-2023-20887 ارائه می‌کند.
 
این آسیب‌پذیری بر روی VMware Aria Operations for Networks (یا vRealize Network Insight سابق) تأثیر می‌گذارد که یک ابزار تحلیل شبکه است. این ابزار به مدیران کمک می‌کند تا عملکرد شبکه را بهینه و یا استقرارهای VMware و Kubernetes را مدیریت کنند.
 
عوامل مخرب احراز هویت نشده می‌توانند از این نقص تزریق دستور(command injection) در حملات با پیچیدگی کم(low-complexity) که نیازی به تعامل کاربر ندارند، سوء استفاده کنند.
 
خیرخواه در تجزیه و تحلیل علت اصلی این اشکال امنیتی توضیح داد: ابزارVMWare Aria Operations for Networks  (یا vRealize Network Insight سابق)  هنگام پذیرش ورودی کاربر از طریق رابط Apache Thrift RPC در برابر تزریق فرمان(command injection) آسیب پذیر است. این آسیب‌پذیری به یک مهاجم احراز هویت نشده اجازه می‌دهد تا از راه دور دستورات دلخواه خود را به عنوان کاربر root بر روی سیستم عامل زیرین(underlying) اجرا کند.
 
هیچ راه حلی برای حذف بردار حمله برای آسیب‌پذیری CVE-2023-20887 در دسترس نیست، بنابراین مدیران باید تمام VMware Aria Operations Networks 6.x را وصله کنند تا از ایمن بودن آنها در برابر حملات در دست اقدام اطمینان حاصل کنند.
 
منبع: Bleeping Computer