Решение VMware Aria Operations for Networks (ранее vRealize Network Insight) уязвимо к критическому дефекту обхода аутентификации, который может позволить удаленным злоумышленникам обойти SSH-аутентификацию и получить доступ к частным конечным точкам.
VMware Aria - это пакет для управления и мониторинга виртуализированных сред и гибридных облаков, позволяющий автоматизировать ИТ, управлять журналами, генерировать аналитику, обеспечивать видимость сети, планировать безопасность и пропускную способность, а также осуществлять полномасштабное управление операциями.
Вчера производитель опубликовал предупреждение о дефекте, затрагивающем все версии ветви Aria 6.x.
Дефект, обнаруженный аналитиками ProjectDiscovery Research, отслеживается как CVE-2023-34039 и получил оценку CVSS v3 9.8, что означает "критический".
"Aria Operations for Networks содержит уязвимость обхода аутентификации из-за отсутствия генерации уникальных криптографических ключей", - говорится в сообщении VMware, посвященном этому недостатку.
"Вредоносный агент, имеющий сетевой доступ к Aria Operations for Networks, может обойти SSH-аутентификацию и получить доступ к CLI Aria Operations for Networks".
Эксплуатация CVE-2023-34039 может привести к утечке или манипулированию данными через интерфейс командной строки продукта. В зависимости от конфигурации такой доступ может привести к нарушению работы сети, изменению конфигурации, установке вредоносного ПО и боковому перемещению.
Производитель не предоставил никаких обходных путей или рекомендаций по устранению проблемы, поэтому единственным способом устранения критического дефекта является обновление до версии 6.11 или применение исправления KB94152 к более ранним версиям.
Найти нужный пакет обновлений безопасности и инструкции по установке для конкретной версии можно на этой странице.
Второй дефект высокой степени серьезности (CVSS v3: 7.2), устраняемый тем же патчем, - CVE-2023-20890. Эта проблема произвольной записи файлов может позволить злоумышленнику, имеющему административный доступ к объекту, выполнить удаленное выполнение кода.
Поскольку данное программное обеспечение используется в крупных организациях, обладающих ценными активами, хакеры быстро эксплуатируют дефекты критической серьезности, затрагивающие эти продукты.
В июне 2023 года компания VMware предупредила своих клиентов об активной эксплуатации CVE-2023-20887, уязвимости удаленного выполнения кода, затрагивающей Aria Operations for Networks.
Массовое сканирование и эксплуатация начались через неделю после того, как производитель выпустил обновление безопасности, устраняющее проблему, и всего через два дня после публикации работающего эксплойта PoC (proof of concept).
Таким образом, любая задержка с применением исправления KB94152 или обновлением до версии Aria 6.11 подвергает вашу сеть значительному риску хакерских атак.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
