VMware waarschuwt voor twee SSH-authenticatiekwetsbaarheden in Aria Operations for Networks. Hackers zouden hierdoor in staat zijn SSH-authenticatie te omzeilen en toegang te krijgen tot privé-endpoints.
Aria Operations for Networks (VMware Aria), het voormalige vRealize Network Insight, is een suite voor het beheren en in de gaten houden van virtuele omgevingen hybride cloudomgevingen. Het biedt hiervoor IT-automatisering, log management, analytics-generatie, netwerkinzichten, security en capaciteitsplanning en complete operationele werkzaamheden.
Authenticatie bypass en remote execution
Volgens de virtualisatiegigant veroorzaakt de eerste kwetsbaarheid, CVE-2023-34039, een authenticatie-bypass. Via deze bypass zijn hackers in staat de SHH-authenticatie te omzeilen en toegang te krijgen tot endpoints.
Vervolgens kunnen zij via de CLI van de oplossing data stelen of te manipuleren. Uiteindelijk kan het ook leiden tot verstoring van het netwerkverkeer, het aanpassen van de configuratie, het installeren van malware en laterale bewegingen.
De tweede aangetroffen kwetsbaarheid in VMware Aria, CVE-2023-20890, is een willekeurig file write-probleem dat aanvallers die beheertoegang hebben op een target een remote execution laat uitvoeren. Hierdoor zijn zij in staat bestanden naar willekeurige locaties in de getroffen netwerkomgevingen te schrijven.
Geen workaround of oplossing
De kwetsbaarheden treffen alle VMware Aria branch-versies vanaf versie 6.x. Er zijn geen workarounds of oplossingen voor dit probleem uitgebracht. Geadviseerd wordt dat bedrijven die deze suite gebruiken te updaten naar versie 6.11 of de KB94152-patch voor eerdere versie doorvoeren.
VMware wordt de laatste tijd geplaagd door kritieke kwetsbaarheden. In juni van dit jaar werd nog de kwetsbaarheid CVE-2023-20887 voor VMware Aria aangetroffen.
Lees ook: VMware waarschuwt voor geëxploiteerde vRealize-kwetsbaarheid