Alerta de Vulnerabilidade Crítica: Redes de Operações Aria da VMware em Risco por Ataques Remotos
30 de Agosto de 2023

A VMware lançou atualizações de software para corrigir duas vulnerabilidades de segurança no Aria Operations for Networks que poderiam ser potencialmente exploradas para burlar a autenticação e obter execução remota de código.

A mais grave das falhas é a CVE-2023-34039 (pontuação CVSS: 9.8), que se refere a um caso de desvio de autenticação resultante da falta de geração de chave criptográfica única.

"Um ator malicioso com acesso à rede ao Aria Operations for Networks poderia burlar a autenticação SSH para acessar o CLI do Aria Operations for Networks", disse a empresa em um comunicado.

Os pesquisadores do ProjectDiscovery, Harsh Jaiswal e Rahul Maini, foram creditados com a descoberta e o relato do problema.

A segunda vulnerabilidade, CVE-2023-20890 (pontuação CVSS: 7.2), é uma vulnerabilidade de gravação de arquivo arbitrário que afeta o Aria Operations for Networks e que pode ser abusada por um adversário com acesso administrativo para gravar arquivos em locais arbitrários e realizar execução remota de código.

A descoberta do bug foi creditada a Sina Kheirkhah da Summoning Team, que anteriormente descobriu várias falhas no mesmo produto, incluindo a CVE-2023-20887 , que sofreu exploração em junho de 2023.

As vulnerabilidades, que afetam as versões 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 e 6.10 do VMware Aria Operations Networks, foram corrigidas em uma série de patches lançados pela VMware para cada uma das versões.

O provedor de serviços de virtualização disse que a versão 6.11.0 vem com correções para as duas falhas.

Dado que os problemas de segurança no VMware são um alvo lucrativo para atores de ameaças no passado, é imperativo que os usuários se atualizem rapidamente para a versão mais recente para se proteger contra ameaças potenciais.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...