Специалисты Управления информатизации НИИОЗММ ДЗМ информируют о критической RCE уязвимости в ядре Linux. Предлагаем ознакомиться с дополнительной информацией и подробностями.
Use-After-Free Remote Code Execution уязвимость в Linux Kernel
CVSS Score: 9.6 (изначально 10.0)
Уязвимости не присвоен номер CVE, поскольку для большинства уязвимостей в ядре эта классификация не используется.
Уязвимым является модуль ksmbd, включающий реализацию файлового сервера на базе протокола SMB и работающий на уровне ядра. При обработке команд вида SMB2_TREE_DISCONNECT выполняются операции над объектом без предварительной проверки, существует ли этот объект. Это происходит из-за того, что в функции smb2_tree_disconnect() после очищения памяти, выделенной под структуру ksmdb_tree_connect, все равно остается указатель на эту структуру, что приводит к обращению к уже освобожденной памяти.
Успешная эксплуатация уязвимости позволит злоумышленнику удаленно выполнить произвольный код на уязвимой системе с правами ядра. Также стоит отметить, что для эксплуатации уязвимости не требуется предварительной аутентификации на уязвимой системе, достаточно, чтобы был активирован уязвимый модуль ksmbd.
Модуль ksmbd был добавлен в ядро Linux в версии 5.15, выпущенной в ноябре 2021 г., поэтому уязвимыми являются все дистрибутивы Linux с версией ядра от 5.15.
Уязвимость была исправлена в версиях ядра 5.15.61, 5.18.18, 5.19.2 в августе 2022 г. без оповещений.
Несмотря на то, что уязвимый модуль ksmbd пока еще не особо распространен (в основном для реализации SMB сервера используется Samba), мы считаем, что уязвимость будет активно использоваться в будущих атаках, особенно учитывая, что для эксплуатации не требуется предварительной аутентификации. Если в инфраструктуре есть системы, на которых используется модуль ksmbd, необходимо оперативно воспользоваться рекомендациями по устранению, приведенными ниже.
Рекомендации по устранению:
- необходимо обновить используемый дистрибутив Linux до последней версии, в которой уязвимость исправлена (версии ядра 5.15.61, 5.18.18, 5.19.2);
- если нет возможности обновить дистрибутив, можно временно отключить модуль ksmbd, это позволит предотвратить возможные попытки эксплуатации уязвимости.
Как проверить версию ядра Linux в используемом дистрибутиве:
- необходимо выполнить команду uname -r
Как проверить, активирован ли модуль ksmbd:
- необходимо выполнить команду modinfo ksmb
Дополнительная информация и ссылки:
https://www.zerodayinitiative.com
https://cdn.kernel.org/ChangeLog-5.15.61
https://cdn.kernel.org/ChangeLog-5.18.8
https://cdn.kernel.org/ChangeLog-5.19.2
Уязвимости CVE-2022-31702 и CVE-2022-31703 в VMware vRealize Network Insight (vRNI).
CVE-2022-31702 – Unauthenticated command injection уязвимость в VMware vRNI
Severity: Critical
CVSS Score: 9.8
Информация не была ранее опубликована в публичном доступе.
Попытки эксплуатации злоумышленниками в атаках не зафиксированы, но вероятны в будущем.
CVE-2022-31703 – Directory traversal уязвимость в VMware vRNI
Severity: Important
CVSS Score: 7.5
Информация не была ранее опубликована в публичном доступе.
Попытки эксплуатации злоумышленниками в атаках не зафиксированы, но вероятны в будущем.
В продукте VMware vRNI обнаружены две уязвимости, одна из которых критическая и имеет CVSS Score 9.8.
Уязвимость CVE-2022-31702 находится в vRNI REST API и при успешной эксплуатации позволяет злоумышленнику, имеющему сетевой доступ до vRNI REST API, без предварительной аутентификации удаленно выполнять произвольный код на уязвимой системе.
Уязвимость CVE-2022-31703 также находится в vRNI REST API и при успешной эксплуатации позволяет злоумышленнику, имеющему сетевой доступ до vRNI REST API, открывать и читать содержимое файлов, к которым у него нет доступа, отправив URL-запрос, содержащий последовательность символов “/../” (переход к родительскому каталогу).
Продукты VMware, подверженные уязвимостям:
- VMware vRNI 6.2
- VMware vRNI 6.3
- VMware vRNI 6.4
- VMware vRNI 6.5.x
- VMware vRNI 6.6
- VMware vRNI 6.7
Отдельно стоит отметить, что VMware vRNI версии 6.8.0 уязвимостям не подвержена.
Мы рекомендуем оперативно воспользоваться приведенными ниже рекомендациями по устранению, если уязвимые продукты есть в инфраструктуре, поскольку уязвимости, вероятно, будут в дальнейшем использоваться злоумышленниками в атаках.
Рекомендации по устранению:
- необходимо установить обновление, где уязвимости были исправлены, для уязвимой версии установленного продукта (https://kb.vmware.com)
Дополнительная информация и ссылки:
Критическая уязвимость CVE-2022-31705 в продуктах VMware ESXi, Workstation, Fusion.
CVE-2022-31705 – Heap out-of-bounds write уязвимость в VMware ESXi, Workstation, Fusion
Severity: Critical
CVSS Score: 9.3
Информация не была ранее опубликована в публичном доступе.
Попытки эксплуатации злоумышленниками в атаках не зафиксированы, но вероятны в будущем.
В продуктах компании VMware обнаружена критическая уязвимость записи за пределы кучи. Уязвимым компонентом является контроллер USB 2.0 виртуальных машин (EHCI). Успешная эксплуатация уязвимости позволит злоумышленнику с правами локального администратора на виртуальной машине удаленно выполнить произвольный код на системе, где установлен уязвимый продукт.
Продукты VMware, подверженные уязвимости:
- VMware ESXi 7.0
- VMware ESXi 8.0
- VMware Fusion 12.x
- VMware Workstation 16.x
Отдельно стоит отметить, что VMware Fusion версии 13.x и VMware Workstation версии 17.x уязвимости не подвержены.
Мы рекомендуем оперативно воспользоваться приведенными ниже рекомендациями по устранению, если уязвимые продукты есть в инфраструктуре, поскольку уязвимость будет в дальнейшем использоваться злоумышленниками в атаках.
Рекомендации по устранению:
- необходимо обновить уязвимый продукт до версии, в которой уязвимость была устранена:
- VMware ESXi 7.0 ESXi70U3si-20841705
- VMware ESXi 8.0 ESXi80a-20842819
- VMware Fusion 12.2.5
- VMware Workstation 16.2.5
Если нет возможности установить обновление, в качестве временной меры можно отключить контроллер USB 2.0 для всех установленных и запущенных виртуальных машин.
Дополнительная информация и ссылки:
https://my.vmware.com (VMware ESXi)
https://customerconnect.vmware.com (VMware Fusion)
https://customerconnect.vmware.com (VMware Workstation)
Надеемся, что данная информация станет для вас полезной. Будьте бдительны и соблюдайте правила информационной безопасности.
Управление информатизации НИИОЗММ ДЗМ искренне поздравляет вас с наступающим Новым годом и Рождеством! Желаем здоровья, бодрости и удачи на протяжении всего 2023 года!