VMware, popüler kurumsal ağ izleme aracı olan Aria Operations for Networks’te bir kritik (CVE-2023-34039) ve bir yüksek önem dereceli güvenlik açığını (CVE-2023-20890) yamaladı.
Güvenlik açıkları hakkında (CVE-2023-34039, CVE-2023-20890)
CVE-2023-34039, benzersiz şifreleme anahtarı oluşturma eksikliğinden kaynaklanan bir ağ atlama güvenlik açığıdır. Bu, Aria Operations for Networks’e ağ erişimi olan bir saldırganın SSH kimlik doğrulamasını atlayarak Aria Operations for Networks komut satırı arayüzüne (CLI) erişmesine olanak tanıyabilir.
CVE-2023-20890, VMware Aria Operations for Networks’e yönetici erişimi olan kimliği doğrulanmış bir saldırganın rastgele konumlara dosya yazmasına ve bunun sonucunda uzaktan kod yürütülmesine olanak tanıyan rastgele bir dosya yazma güvenlik açığıdır.
İlk güvenlik açığı ProjectDiscovery Research’ten Harsh Jaiswal ve Rahul Maini tarafından, ikincisi ise Summoning Team’den Sina Kheirkhah tarafından bildirildi.
Güvenlik açıklarının vahşi ortamda istismar edildiğine dair hiçbir gösterge yok.
Aria Operations for Networks sürüm 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10 bu durumdan etkilenmiştir ve herhangi bir geçici çözüm olmadığından kullanıcıların mümkün olan en kısa sürede 6.11.0 sürümüne güncelleme yapmaları rica olunur.
Saldırı altındaki Ağlar için Aria Operasyonları
Haziran 2023’ün ortalarında VMware, VMware Aria Operations for Networks’teki üç güvenlik açığını düzeltti; bunlardan biri vahşi ortamda istismar ediliyordu (CVE-2023-20887).
CVE-2023-20887, VMware Aria Operations for Networks’e ağ erişimi olan bir saldırganın komut ekleme saldırısı gerçekleştirmesine ve uzaktan kod yürütmesine olanak tanıyan bir ön kimlik doğrulama komut ekleme güvenlik açığıdır.
Kusurdan yararlanma girişimleri, PoC istismarının yayınlanmasından iki gün sonra başladı.