Il fornitore di servizi di virtualizzazione VMware ha avvertito i clienti dell’esistenza di una proof-of-concept (PoC) per sfruttare una falla di sicurezza recentemente corretta in Aria Operations for Logs.
Sebbene non sia passato molto tempo dalle ultime vulnerabilità di VMware e di Citrix, purtroppo i malintenzionati (quelli a livello informatico, si intende) sono sempre in agguato.
Quali sono le vulnerabilità Citrix e VMWare e in cosa consistono
Identificata come CVE-2023-34051 (punteggio CVSS: 8.1), questa vulnerabilità di gravità elevata riguarda un caso di bypass dell’autenticazione che potrebbe portare all’esecuzione remota di codice (naturalmente codice malevolo).
“Un malintenzionato non autenticato può inserire file nel sistema operativo di un’apparecchiatura interessata, il ché può comportare l’esecuzione remota di codice [malevolo]” ha detto VMware in un avviso il 19 ottobre 2023.
James Horseman di Horizon3.ai e il Randori Attack Team sono stati accreditati per aver scoperto e segnalato la falla.
Horizon3.ai ha successivamente reso disponibile una PoC per questa vulnerabilità, facendo sì che VMware revisionasse il suo avviso questa settimana.
È importante notare che la CVE-2023-34051 rappresenta un bypass della patch per un insieme di gravi problemi che erano stati affrontati da VMware all’inizio di gennaio e ancora prima a dicembre 2022 e che potevano esporre gli utenti ad attacchi di esecuzione remota di codice.
“Non sarebbe molto difficile per un attaccante trovare questo bypass della patch” ha dichiarato Horseman, autore di Horizion3.ai. “Questo attacco sottolinea l’importanza della difesa a strati; un difensore non può sempre fidarsi che una patch ufficiale mitighi completamente una vulnerabilità.“, il ché un po’ il concetto alla base di Windows Defender, buono finché vuoi, ma un aiutino da parte di Malwarebytes non fa male.
Questa divulgazione giunge mentre Citrix ha rilasciato un proprio avviso, invitando i clienti ad applicare correzioni per la CVE-2023-4966 (punteggio CVSS: 9.4), una vulnerabilità critica di sicurezza che interessa NetScaler ADC e NetScaler Gateway ed è stata oggetto di attacchi attivi nel mondo reale.
“Ora abbiamo segnalazioni di incidenti compatibili con il dirottamento delle sessioni e abbiamo ricevuto segnalazioni credibili di attacchi mirati che sfruttano questa vulnerabilità” ha dichiarato l’azienda questa settimana, confermando un rapporto di Mandiant, di proprietà di Google.
Gli sforzi di sfruttamento sono probabilmente destinati a aumentare nei prossimi giorni, dato che è disponibile un proof-of-concept per l’exploit, denominata Citrix Bleed.
“In questo caso abbiamo visto un interessante esempio di una vulnerabilità causata dalla mancata comprensione completa di snprintf” ha detto il ricercatore di Assetnote Dylan Pindur, aggiungendo “Anche se snprintf è raccomandato come la versione sicura di sprintf, è comunque importante fare attenzione. Si è evitato un buffer overflow utilizzando snprintf, ma il successivo over-read del buffer è stato comunque un problema.“
Lo sfruttamento attivo della CVE-2023-4966 ha spinto l’Ufficio per la sicurezza informatica e dell’infrastruttura degli Stati Uniti (CISA) ad aggiungerla al catalogo delle vulnerabilità conosciute e sfruttate (KEV, Known Exploited Vulnerabilities Catalog), richiedendo alle agenzie federali degli Stati Uniti di applicare le ultime patch entro l’8 novembre 2023.
Gli sviluppi più recenti seguono anche il rilascio di aggiornamenti per tre vulnerabilità critiche di esecuzione remota di codice in SolarWinds Access Rights Manager (CVE-2023-35182, CVE-2023-35185 e CVE-2023-35187, punteggi CVSS: 9.8), che gli hacker attaccanti da remoto potrebbero sfruttare per eseguire codice con privilegi di sistema.
Due parole sulla virtualizzazione
Oltre Citrix e VMware, sicuramente la più usata è VirtualBox di Oracle, ma al di là di questo, è curioso notare come molte persone affidino alla macchina virtuale la loro sicurezza quando navigano in ambienti rischiosi, perché dicono “tanto non risulta come il mio dispositivo”, peccato che ciò sia vero solo in minima parte.
Se da un lato è vero che quando ho una macchina virtuale è più difficile essere identificati, dall’altra è vero che comunque tale macchina virtuale è sempre presente fisicamente sul disco rigido, con tutte le conseguenze del caso; non è possibile, pertanto, escludere a priori di aver scaricato (anche accidentalmente) qualche file contenente codice malevolo, dato che nemmeno le macchine virtuali sono immuni, come appena visto, da falle nella loro sicurezza.
