VMware Aria Operations for Networks (anciennement vRealize Network Insight) est vulnérable à une faille de contournement d’authentification de gravité critique qui pourrait permettre à des attaquants distants de contourner l’authentification SSH et d’accéder aux points de terminaison privés.
VMware Aria est une suite permettant de gérer et de surveiller les environnements virtualisés et les cloud hybrides, permettant l’automatisation informatique, la gestion des journaux, la génération d’analyses, la visibilité du réseau, la planification de la sécurité et des capacités, ainsi que la gestion complète des opérations.
Hier, l’éditeur a publié un avis de sécurité avertissant d’une faille qui affecte toutes les versions de la branche Aria 6.x.
La faille, découverte par les analystes de ProjectDiscovery Research, est identifiée comme CVE-2023-34039 et a reçu une portée CVSS v3 de 9,8, la classant « critique ».
« Aria Operations for Networks contient une vulnérabilité de contournement d’authentification en raison d’un manque de génération de clé cryptographique unique », prévient l’avis de VMware concernant la faille.
« Un acteur malveillant disposant d’un accès réseau à Aria Operations for Networks pourrait contourner l’authentification SSH pour accéder à la CLI Aria Operations for Networks. »
L’exploitation de CVE-2023-34039 pourrait conduire à une exfiltration ou à une manipulation de données via l’interface de ligne de commande du produit. Selon la configuration, cet accès peut entraîner une interruption du réseau, une modification de la configuration, l’installation de logiciels malveillants et un mouvement latéral.
Le fournisseur n’a fourni aucune solution de contournement ni recommandation d’atténuation. Le seul moyen de remédier à la faille critique consiste donc à mettre à niveau vers la version 6.11 ou à appliquer le correctif KB94152 sur les versions antérieures.
Vous pouvez trouver le package de mise à jour de sécurité et les instructions d’installation adaptés à la version spécifique que vous utilisez sur cette page Web.
Une deuxième faille de haute gravité (CVSS v3 : 7.2) corrigée par le même correctif est CVE-2023-20890. Ce problème d’écriture de fichier arbitraire peut permettre à un attaquant disposant d’un accès administratif à la cible d’exécuter du code à distance.
Ce logiciel étant utilisé dans de grandes organisations détenant des actifs précieux, les pirates informatiques sont prompts à exploiter les failles de gravité critique affectant ces produits.
En juin 2023, VMware a averti ses clients de l’exploitation active de CVE-2023-20887, une vulnérabilité d’exécution de code à distance impactant Aria Operations for Networks.
Les efforts d’analyse de masse et d’exploitation ont commencé une semaine après que le fournisseur a mis à disposition une mise à jour de sécurité résolvant le problème et deux jours seulement après la publication d’un exploit PoC (preuve de concept) fonctionnel.
Cela dit, tout retard dans l’application du correctif KB94152 ou la mise à niveau vers la version 6.11 d’Aria exposerait votre réseau à un risque important d’attaques de pirates.