A VMware informou que o VMware Aria é vulnerável a falha crítica de desvio de autenticação SSH. Confira os detalhes dessa ameaça.
VMware Aria é um pacote para gerenciamento e monitoramento de ambientes virtualizados e nuvens híbridas, permitindo automação de TI, gerenciamento de logs, geração de análises, visibilidade de rede, planejamento de segurança e capacidade e gerenciamento de operações de escopo completo.
Recentemente, o fornecedor publicou um alerta de segurança sobre uma falha que afeta todas as versões da filial Aria 6.x.
VMware Aria é vulnerável a falha crítica de desvio de autenticação SSH
Sim. O VMware Aria Operations for Networks (anteriormente vRealize Network Insight) é vulnerável a uma falha de desvio de autenticação de gravidade crítica que pode permitir que invasores remotos ignorem a autenticação SSH e acessem endpoints privados.
A falha, descoberta por analistas da ProjectDiscovery Research, é rastreada como CVE-2023-34039 e recebeu um escopo CVSS v3 de 9,8, classificando-a como “crítica”.
“Aria Operations for Networks contém uma vulnerabilidade de bypass de autenticação devido à falta de geração de chave criptográfica exclusiva”, alerta o comunicado da VMware sobre a falha.
“Um ator mal-intencionado com acesso de rede ao Aria Operations for Networks poderia ignorar a autenticação SSH para obter acesso à CLI do Aria Operations for Networks.”
A exploração do CVE-2023-34039 pode levar à exfiltração ou manipulação de dados por meio da interface de linha de comando do produto.
Dependendo da configuração, esse acesso pode levar à interrupção da rede, modificação da configuração, instalação de malware e movimentação lateral.
O fornecedor não forneceu soluções alternativas ou recomendações de mitigação, portanto, a única maneira de remediar a falha crítica é atualizar para a versão 6.11 ou aplicar o patch KB94152 em versões anteriores.
Você pode encontrar o pacote de atualização de segurança correto e as instruções de instalação para a versão específica que está usando nesta página web.
Uma segunda falha de alta gravidade (CVSS v3: 7.2) corrigida pelo mesmo patch é CVE-2023-20890. Esse problema de gravação arbitrária de arquivos pode permitir que um invasor com acesso administrativo ao alvo execute execução remota de código.
Devido ao fato de esse software ser usado em grandes organizações que possuem ativos valiosos, os hackers são rápidos em explorar falhas críticas de gravidade que afetam esses produtos.
Em junho de 2023, a VMware alertou seus clientes sobre a exploração ativa de CVE-2023-20887, uma vulnerabilidade de execução remota de código que afeta o Aria Operations for Networks.
Os esforços de varredura em massa e exploração começaram uma semana depois que o fornecedor disponibilizou uma atualização de segurança que resolveu o problema e apenas dois dias após a publicação de uma exploração PoC (prova de conceito) funcional.
Dito isso, qualquer atraso na aplicação do patch KB94152 ou na atualização para a versão 6.11 do Aria colocaria sua rede em risco significativo de ataques de hackers.