VMware выпустила обновления для платформы Aria Operations for Networks, устраняющие две уязвимости, которые могут поставить под угрозу работу корпоративной сети. Компания настоятельно рекомендует клиентам установить патчи немедленно — самой опасной из проблем присвоена максимальная для практических случаев оценка CVSS 9.8 из 10.
Что за продукт
Aria — это мультиоблачная платформа управления VMware, объединившая ранее разрозненные сервисы: vRealize Automation, vRealize Operations, vRealize Network Insight и CloudHealth. Через единую консоль Aria Hub администраторы получают централизованный обзор и контроль над всей мультиоблачной инфраструктурой.
Уязвимости обнаружены в компоненте Aria Operations for Networks — модуле мониторинга, который отслеживает задержки приложений по TCP-трафику (латентность, повторные передачи) и формирует оповещения на дашборде.
Суть уязвимостей
Первая и самая опасная проблема — обход аутентификации, вызванный отсутствием генерации уникальных криптографических ключей. VMware отнесла её к «критическому» уровню опасности с максимальной оценкой CVSS 9.8. Злоумышленник с сетевым доступом к Aria Operations for Networks может обойти аутентификацию SSH и получить доступ к командной строке продукта, что открывает возможность полного контроля над системой.
Вторая уязвимость — произвольная запись файлов, оценена в 7.2 балла по CVSS. Она позволяет уже аутентифицированному злоумышленнику с административным доступом записывать файлы в произвольные места файловой системы, что приводит к удалённому выполнению кода.
Кого это касается
По данным VMware, проблема затрагивает версии Aria Operations for Networks On-Prem 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 и 6.10. Обновление до версии 6.11 закрывает обе уязвимости. Патчи для затронутых версий также доступны для загрузки отдельно.
Учитывая критичность первой уязвимости и то, что для эксплуатации достаточно сетевого доступа без учётных данных, компаниям, использующим Aria Operations for Networks, стоит установить обновление в приоритетном порядке — до появления публичных эксплойтов.
Источник: NetworkWorld.