VMware срочно просит закрыть критическую дыру в Aria Operations for Networks

VMware выпустила обновления для платформы Aria Operations for Networks, устраняющие две уязвимости, которые могут поставить под угрозу работу корпоративной сети. Компания настоятельно рекомендует клиентам установить патчи немедленно — самой опасной из проблем присвоена максимальная для практических случаев оценка CVSS 9.8 из 10.

Что за продукт

Aria — это мультиоблачная платформа управления VMware, объединившая ранее разрозненные сервисы: vRealize Automation, vRealize Operations, vRealize Network Insight и CloudHealth. Через единую консоль Aria Hub администраторы получают централизованный обзор и контроль над всей мультиоблачной инфраструктурой.

Уязвимости обнаружены в компоненте Aria Operations for Networks — модуле мониторинга, который отслеживает задержки приложений по TCP-трафику (латентность, повторные передачи) и формирует оповещения на дашборде.

Суть уязвимостей

Первая и самая опасная проблема — обход аутентификации, вызванный отсутствием генерации уникальных криптографических ключей. VMware отнесла её к «критическому» уровню опасности с максимальной оценкой CVSS 9.8. Злоумышленник с сетевым доступом к Aria Operations for Networks может обойти аутентификацию SSH и получить доступ к командной строке продукта, что открывает возможность полного контроля над системой.

Вторая уязвимость — произвольная запись файлов, оценена в 7.2 балла по CVSS. Она позволяет уже аутентифицированному злоумышленнику с административным доступом записывать файлы в произвольные места файловой системы, что приводит к удалённому выполнению кода.

Кого это касается

По данным VMware, проблема затрагивает версии Aria Operations for Networks On-Prem 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 и 6.10. Обновление до версии 6.11 закрывает обе уязвимости. Патчи для затронутых версий также доступны для загрузки отдельно.

Учитывая критичность первой уязвимости и то, что для эксплуатации достаточно сетевого доступа без учётных данных, компаниям, использующим Aria Operations for Networks, стоит установить обновление в приоритетном порядке — до появления публичных эксплойтов.

Источник: NetworkWorld.