Vulnerabilities ›

CVE-2023-20867

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

VMware Tools Authentication Bypass Vulnerability (CVE-2023-20867)

                    Published: Jun 23, 2023                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

VMware Tools Authentication Bypass Vulnerability — VMware Tools contains an authentication bypass vulnerability in the vgauth module. A fully compromised ESXi host can force VMware Tools to fail to authenticate host-to-guest operations, impacting the confidentiality and integrity of the guest virtual machine. An attacker must have root access over ESXi to exploit this vulnerability.

🤖 AI Executive Summary

CVE-2023-20867 is a critical authentication bypass vulnerability in VMware Tools' vgauth module with a CVSS score of 9.0. An attacker with root access to a compromised ESXi host can bypass authentication mechanisms, compromising the confidentiality and integrity of guest virtual machines. With publicly available exploits and patches available, immediate patching is essential for organizations running VMware infrastructure.

📄 Description (Arabic)

تحتوي وحدة vgauth في أدوات VMware على عيب في آلية المصادقة يسمح بتجاوز التحقق من الهوية بين المضيف والضيف. يتطلب الاستغلال وصول جذر كامل على مضيف ESXi المخترق. يمكن للمهاجم استخدام هذه الثغرة للتأثير على سرية وسلامة البيانات في الآلات الافتراضية للضيف. تم تصنيف هذه الثغرة بدرجة حرجة مع درجة CVSS 9.0.

🤖 ملخص تنفيذي (AI)

CVE-2023-20867 عبارة عن ثغرة حرجة في مصادقة VMware Tools في وحدة vgauth بدرجة CVSS 9.0. يمكن لمهاجم لديه صلاحيات جذر على مضيف ESXi مخترق تجاوز آليات المصادقة، مما يؤثر على سرية وسلامة الأجهزة الافتراضية الضيفة. مع توفر استغلالات عامة والتصحيحات، يعتبر التصحيح الفوري ضروريًا للمنظمات التي تشغل بنية VMware.

🤖 AI Intelligence Analysis Analyzed: Apr 20, 2026 22:35

🇸🇦 Saudi Arabia Impact Assessment

This vulnerability poses significant risk to Saudi organizations operating VMware infrastructure, particularly: (1) Banking sector (SAMA-regulated institutions) relying on VMware for critical systems and customer data isolation; (2) Government entities (NCA oversight) using virtualization for sensitive operations; (3) Energy sector (ARAMCO and related entities) dependent on ESXi for operational technology; (4) Telecommunications (STC, Mobily) using VMware for service delivery; (5) Healthcare providers managing patient data on virtualized platforms. The requirement for root ESXi access limits immediate risk but represents a critical post-compromise threat.

🏢 Affected Saudi Sectors

Banking and Financial Services Government and Public Administration Energy and Utilities Telecommunications Healthcare Critical Infrastructure

🎯 MITRE ATT&CK Techniques

T1548 - Abuse Elevation Control Mechanism T1556 - Modify Authentication Process T1578 - Modify Cloud Compute Infrastructure T1199 - Trusted Relationship T1021 - Remote Service Session Initiation T1563 - Remote Service Session Hijacking

⚖️ Saudi Risk Score (AI)

8.5

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Inventory all VMware Tools installations across ESXi hosts in your environment

2. Assess ESXi host security posture and access controls

3. Review ESXi root account access logs for unauthorized activities

4. Isolate any ESXi hosts showing signs of compromise



PATCHING GUIDANCE:

1. Apply VMware Tools patches immediately to all guest VMs (version 12.3.0 or later for Tools 12.x, 13.0.0 or later for Tools 13.x)

2. Coordinate patching with ESXi host updates to ensure compatibility

3. Test patches in non-production environment first

4. Schedule maintenance windows for guest VM reboots



COMPENSATING CONTROLS (if patching delayed):

1. Restrict ESXi root account access using SSH key-based authentication only

2. Implement network segmentation isolating ESXi management interfaces

3. Enable ESXi host firewall rules limiting vgauth service exposure

4. Monitor vgauth service logs for authentication failures

5. Implement privileged access management (PAM) for ESXi root accounts



DETECTION RULES:

1. Monitor ESXi logs for vgauth authentication failures and bypass attempts

2. Alert on unexpected vgauth service restarts or crashes

3. Track changes to vgauth configuration files

4. Monitor for unusual host-to-guest communication patterns

5. Implement SIEM rules for ESXi root account usage outside normal maintenance windows

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. قم بحصر جميع تثبيتات VMware Tools عبر مضيفات ESXi في بيئتك

2. قيّم موقف أمان مضيف ESXi وعناصر التحكم في الوصول

3. راجع سجلات وصول حساب جذر ESXi للأنشطة غير المصرح بها

4. عزل أي مضيفات ESXi تظهر علامات اختراق

إرشادات التصحيح:

1. طبق تصحيحات VMware Tools فورًا على جميع الأجهزة الافتراضية الضيفة (الإصدار 12.3.0 أو أحدث للإصدار 12.x، 13.0.0 أو أحدث للإصدار 13.x)

2. نسق التصحيح مع تحديثات مضيف ESXi لضمان التوافق

3. اختبر التصحيحات في بيئة غير الإنتاج أولاً

4. جدول نوافذ الصيانة لإعادة تشغيل الأجهزة الافتراضية الضيفة

الضوابط البديلة (إذا تأخر التصحيح):

1. قيد وصول حساب جذر ESXi باستخدام المصادقة المستندة إلى مفتاح SSH فقط

2. طبق تقسيم الشبكة لعزل واجهات إدارة ESXi

3. فعّل قواعد جدار حماية مضيف ESXi لتحديد تعريض خدمة vgauth

4. راقب سجلات خدمة vgauth لفشل المصادقة

5. طبق إدارة الوصول المميز (PAM) لحسابات جذر ESXi

قواعد الكشف:

1. راقب سجلات ESXi لفشل المصادقة ومحاولات التجاوز في vgauth

2. أصدر تنبيهات لإعادة تشغيل خدمة vgauth غير المتوقعة أو الأعطال

3. تتبع التغييرات في ملفات تكوين vgauth

4. راقب أنماط الاتصال غير العادية من المضيف إلى الضيف

5. طبق قواعد SIEM لاستخدام حساب جذر ESXi خارج نوافذ الصيانة العادية

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Access Control Policies ECC 2024 A.5.2.1 - User Registration and De-registration ECC 2024 A.5.3.1 - Access Rights Review ECC 2024 A.8.2.1 - User Endpoint Devices ECC 2024 A.12.4.1 - Event Logging ECC 2024 A.12.4.3 - Administrator and Operator Logs

🔵 SAMA CSF

SAMA CSF ID.AM-2 - Software Inventory SAMA CSF PR.AC-1 - Access Control Policy SAMA CSF PR.AC-4 - Access Rights Management SAMA CSF DE.CM-1 - Network Monitoring SAMA CSF DE.AE-1 - Audit Logs

🟡 ISO 27001:2022

ISO 27001:2022 A.5.15 - Access Control ISO 27001:2022 A.5.16 - Authentication ISO 27001:2022 A.8.1 - User Endpoint Devices ISO 27001:2022 A.8.2 - Privileged Access Rights ISO 27001:2022 A.12.4 - Logging

🟣 PCI DSS v4.0

PCI DSS 2.1 - Default Passwords PCI DSS 7.1 - Access Control Implementation PCI DSS 8.1 - User Identification PCI DSS 10.2 - User Access Logging

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

VMware:Tools

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS3.13%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2023-07-14

Published 2023-06-23

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

8.5

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2023-20867

Join CISO Consulting

Introduce Yourself

Sign In Required