Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

PoC-Exploits für Sicherheitslücken in Citrix- und VMware

Das Unternehmen VMware hat seine Kunden auf ein Proof-of-Concept-(PoC)-Exploit für eine kürzlich gepatchte Sicherheitslücke in Aria Operations for Logs aufmerksam gemacht. Die Schwachstelle mit der Bezeichnung CVE-2023-34051 (CVSS-Score: 8.1) bezieht sich auf einen Fall, bei dem die Authentifizierung umgangen wurde. Auf diese Weise ließe sich Remote-Code ausführen.

Lesezeit 2 Min.

Am 19. Oktober 2023 hat VMware in einem Hinweis erklärt, dass ein unbefugter, bösartiger Akteur Dateien in das Betriebssystem einer betroffenen Appliance einschleusen kann. Dies wiederum kann dazu führen, dass ferngesteuerter Code ausgeführt wird. Die Entdeckung und Meldung dieser Sicherheitslücke werden James Horseman von Horizon3.ai und dem Randori Attack Team zugeschrieben. Horizon3.ai hat inzwischen ein Proof of Concept (PoC) für diese Schwachstelle bereitgestellt, wodurch VMware dazu veranlasst wurde, seinen Hinweis jetzt zu überarbeiten.

Es ist wichtig zu beachten, dass CVE-2023-34051 einen Patch-Bypass darstellt, welcher die Patches für eine ganze Gruppe kritischer Schwachstellen umgeht, die VMware Anfang Januar dieses Jahres behoben hat. Diese Schwachstellen könnten es Angreifern ermöglichen, Remote-Code auszuführen. „Diese Methode, um den Patch zu umgehen, wäre für einen Angreifer nicht allzu schwer zu finden“, so Horseman. „Dieser Angriff zeigt, wie wichtig es ist, umfassende Verteidigungsmaßnahmen zu ergreifen. Ein Defense-Team kann nicht immer darauf vertrauen, dass ein offizieller Patch eine Schwachstelle vollständig beseitigt.“

Diese Enthüllung kommt nach der Veröffentlichung einer Mitteilung von Citrix, in der Kunden aufgefordert werden, Fehlerbehebungen für die Sicherheitslücke CVE-2023-4966 (CVSS-Score: 9.4) anzuwenden. Diese Lücke betrifft die Produkte NetScaler ADC und NetScaler Gateway und wurde bereits in freier Wildbahn aktiv ausgenutzt.

Das Unternehmen erklärte nun: „Wir haben jetzt Berichte über Vorfälle, die mit Session Hijacking übereinstimmen, und wir haben glaubwürdige Berichte über gezielte Angriffe erhalten, die diese Schwachstelle ausnutzen.“ Dies bestätigte einen Bericht der Google-Tochter Mandiant. Es ist wahrscheinlich, dass in nächster Zeit verstärkte Bemühungen unternommen werden, um diese Schwachstelle auszunutzen, da ein Proof-of-Concept-Exploit namens Citrix Bleed verfügbar ist.

Assetnote-Forscher Dylan Pindur kommentierte die Situation: „Hier haben wir ein interessantes Beispiel für eine Schwachstelle, die durch ein unzureichendes Verständnis von snprintf verursacht wird. Auch wenn snprintf als die sichere Version von sprintf empfohlen wird, ist es wichtig, vorsichtig zu sein. Ein erster Pufferüberlauf konnte durch die Verwendung von snprintf zwar vermieden werden, aber der nachfolgende Pufferüberlauf war immer noch ein Problem.“

Die aktive Ausnutzung von CVE-2023-4966 hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) dazu veranlasst, diese Schwachstelle in den KEV-Katalog (Known Exploited Vulnerabilities) aufzunehmen und die Bundesbehörden in den USA aufzufordern, die neuesten Patches bis zum 8. November 2023 anzuwenden.

Die jüngsten Entwicklungen folgen auch auf die Veröffentlichung von Updates für drei kritische Schwachstellen in SolarWinds Access Rights Manager (CVE-2023-35182, CVE-2023-35185 und CVE-2023-35187, CVSS-Scores: 8.8), die Angreifer nutzen können, um Code mit SYSTEM-Rechten auszuführen.

Diesen Beitrag teilen: