VMware, VMware Aria Automation ve VMware Cloud Foundation’ı etkileyen kritik bir güvenlik açığının (CVE-2023-34063) saldırganlar tarafından uzak kuruluşlara ve iş akışlarına erişim sağlamak için kullanılabileceği konusunda uyardı.
Şirket şimdilik bu kusurun “doğal olarak” istismar edildiğinin farkında değil. Yamalar mevcuttur ve VMware, VMware Aria Automation 8.16’ya yükseltme yapmanızı önerir.
“Bu durum, kuruluşunuzun derhal harekete geçmesini gerektiren acil bir değişiklik olarak nitelendiriliyor” diye eklediler.
CVE-2023-34063 Hakkında
VMware Aria Automation (eski adıyla vRealize Automation), çoklu bulut altyapı otomasyon platformudur ve VMware Cloud Foundation hibrit bulut platformuna dahildir.
Eksik bir erişim kontrolü güvenlik açığı olan CVE-2023-34063, Avustralya hükümetinin bilimsel araştırma kurumu CSIRO’nun Bilimsel Bilgi İşlem Platformları ekibi tarafından özel olarak rapor edildi. Saldırganların bundan yararlanabilmesi için düşük ayrıcalıklara sahip olması gerekir (kimliğinin doğrulanması gerekir), ancak herhangi bir kullanıcı etkileşimi olmadan kusuru tetikleyebilir.
v8.16’dan önceki tüm Aria Automation sürümlerini ve VMware Cloud Foundation 5.x ve 4.x sürümlerini etkiler.
VMware vCenter Server, VMware ESXi, Aria Orchestrator veya Aria Automation Cloud’u etkilemez.
Ne yapalım?
“Yamayı uygulamak için sisteminizin ana sürümün en son sürümünü çalıştırıyor olması gerekir. Örneğin sisteminiz Aria Automation 8.12.1’deyse yamayı uygulamadan önce 8.12.2’ye güncellemeniz gerekir.” diye açıkladı şirket.
“Sürüm 8.16’ya yükseltmek yerine farklı bir sürüm seçerseniz, yamayı uyguladıktan sonra desteklenen tek yükseltme yolunun 8.16 sürümüne geçmek olduğunu unutmamak önemlidir. VMware bu sürümü şiddetle tavsiye ediyor. Eğer bir ara sürüme yükseltirseniz, güvenlik açığı yeniden ortaya çıkacak ve ek bir yama işlemi gerektirecektir.”
Herhangi bir geçici çözüm mevcut değil, ancak VMware, güvenlik duruşlarına, derinlemesine savunma stratejilerine ve çevre ve cihaz güvenlik duvarlarının yapılandırmalarına bağlı olarak kuruluşların bazı azaltımlar ve telafi edici kontroller uygulayabileceğini söylüyor.