由于潜在的安全问题,VMware 建议客户升级或修补其 Aria for Network Operations 软件。
VMware Aria 是该供应商的多云管理平台,集成了以前独立的 VMware 服务,例如 vRealize Automation、vRealize Operations、vRealize Network Insight 和 CloudHealth。单个 Aria Hub 控制台提供集中视图和控制,让客户查看和管理整个多云环境。
这些漏洞存在于 Aria Operations for Networks 中,该组件是一个监控组件,可以根据 TCP 流量延迟和重传找到应用程序延迟的原因,并在应用程序仪表板上触发警报。
具体来说,VMware 表示 Aria Operations for Networks 存在两个漏洞。第一个也是最严重的是由于缺乏唯一的加密密钥生成而导致的身份验证绕过漏洞。VMware 将此问题评为“严重严重范围”,通用漏洞评分系统 (CVSS) 最高得分为 9.8 分(满分 10 分)。第二个是任意文件写入漏洞,CVSS 威胁得分为 7.2 分。
VMware 表示,由于存在身份验证漏洞,具有 Aria Operations for Networks 网络访问权限的恶意行为者可以绕过安全套接字 Shell (SSH) 身份验证来访问 Aria Operations for Networks 命令行界面,这可能会引发各种控制问题。
VMware 表示,利用文件写入漏洞,具有 VMware Aria Operations for Networks 管理访问权限的经过身份验证的攻击者可以将文件写入任意位置,从而导致远程代码执行。
VMware 警告称,Aria Operations for Networks On-Prem 版本 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10 受到这些漏洞的影响,并表示升级到版本 6.11 可以解决这些问题。
