A VMware está alertando os clientes a atualizar ou corrigir o software Aria for Network Operations devido a possíveis problemas de segurança. O Aria é a plataforma de gerenciamento multinuvem da fornecedora que integra serviços VMware anteriormente separados, como vRealize Automation, vRealize Operations, vRealize Network Insight e CloudHealth em um único console, que fornece visualizações e controles centralizados e permite que os clientes vejam e gerenciem todo o ambiente multinuvem.
As vulnerabilidades estão no componente Aria Operations for Networks, que inclui a capacidade de ajudar a executar aplicativos com mais facilidade, encontrando a causa do atraso com base na latência do tráfego TCP e nas retransmissões, acionando alertas no painel do aplicativo.
Especificamente, a empresa disse que o Aria Operations for Networks contém duas vulnerabilidades: uma no Authentication Bypass devido à falta de geração de chave criptográfica exclusiva, cujo escore de criticidade éde 9.8 no sistema de pontuação comum de vulnerabilidades (CVSS), além de uma gravação de arquivo arbitrária, vulnerabilidade que tem pontuação de 7.2 no CVSS.
Veja isso
VMware corrige falha crítica no aplicativo Carbon Black Control
Ransomware ESXiArgs visa servidor VMware ESXi sem patch
Com a falha de autenticação, um operador de ameaça com acesso de rede ao Aria Operations for Networks poderia ignorar a autenticação SSH (Secure Sockets Shell) para obter acesso à interface de linha de comando do Aria Operations for Networks, o que poderia desencadear todos os tipos de problemas de controle, afirmou a VMware.
Com a vulnerabilidade de gravação de arquivo, um invasor autenticado com acesso administrativo ao VMware Aria Operations for Networks poderia gravar arquivos em locais arbitrários, resultando na execução remota de código, afirmou a VMware.
A VMware alertou que as versões 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 e 6.10 do Aria Operations for Networks on premises são afetadas pelas vulnerabilidades, mas que a atualização para a versão 6.11 corrige os problemas. Os clientes também podem baixar patches para as vulnerabilidades aqui.