VMware ha rilasciato aggiornamenti software per correggere due gravi vulnerabilità di sicurezza in Aria Operations for Networks. Queste vulnerabilità potrebbero essere sfruttate per eludere l’autenticazione e ottenere l’esecuzione remota di codice.
Dettagli sulla vulnerabilità più grave
La vulnerabilità più critica è identificata come CVE-2023-34039 con un punteggio CVSS di 9.8. Questa vulnerabilità riguarda un caso di bypass dell’autenticazione dovuto alla mancanza di generazione di chiavi crittografiche uniche. Un attore malintenzionato con accesso alla rete a Aria Operations for Networks potrebbe bypassare l’autenticazione SSH per accedere all’interfaccia della riga di comando (CLI) di Aria Operations for Networks. Questa vulnerabilità è stata scoperta e segnalata dai ricercatori Harsh Jaiswal e Rahul Maini di ProjectDiscovery.
Seconda vulnerabilità
La seconda vulnerabilità, identificata come CVE-2023-20890 con un punteggio CVSS di 7.2, è una vulnerabilità di scrittura di file arbitrari che colpisce Aria Operations for Networks. Un avversario con accesso amministrativo potrebbe sfruttare questa vulnerabilità per scrivere file in posizioni arbitrarie e ottenere l’esecuzione remota di codice. Sina Kheirkhah del Summoning Team, che in precedenza aveva scoperto molteplici falle nello stesso prodotto, ha segnalato questa vulnerabilità.
Versioni interessate e correzioni
Le vulnerabilità interessano le versioni di VMware Aria Operations Networks 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 e 6.10. VMware ha rilasciato una serie di patch per ciascuna di queste versioni. La versione 6.11.0 include le correzioni per entrambe le vulnerabilità.
Raccomandazioni
Dato che le vulnerabilità in VMware sono diventate un obiettivo allettante per gli attori delle minacce in passato, è essenziale che gli utenti aggiornino rapidamente alla versione più recente per proteggersi da potenziali minacce.
Cos’è VMware?
VMware è un fornitore leader di servizi di virtualizzazione che offre soluzioni per la gestione di data center, mobilità e sicurezza delle reti.