Lỗ hổng bỏ qua xác thực SSH trên VMware Aria

VMware Aria Operations for Networks (trước đây là vRealize Network Insight) bị ảnh hưởng bởi lỗ hổng nghiêm trọng, cho phép kẻ tấn công từ xa bỏ qua xác thực SSH và truy cập các điểm cuối riêng tư.

VMware Aria là bộ công cụ để quản lý và giám sát các môi trường ảo hóa và đám mây hybrid, cho phép tự động hóa CNTT, quản lý nhật ký, tạo phân tích, khả năng hiển thị mạng, lập kế hoạch năng lực và bảo mật cũng như quản lý hoạt động toàn diện.

Nhà cung cấp sản phẩm hôm qua đã đưa ra cảnh báo về lỗ hổng ảnh hưởng đến tất cả các phiên bản nhánh Aria 6.x. Lỗ hổng được phát hiện bởi các nhà phân tích tại ProjectDiscovery Research, có mã theo dõi CVE-2023-34039, CVSS v3 9,8.

Việc khai thác thành công CVE-2023-34039 có thể dẫn đến đánh cắp hoặc thao túng dữ liệu thông qua giao diện dòng lệnh của sản phẩm. Tùy thuộc vào cấu hình, quyền truy cập mà gây ra gián đoạn mạng, sửa đổi cấu hình, cài đặt mã độc và chuyển động bên (lateral movement).

Để tránh ảnh hưởng của lỗ hổng, người dùng cần nâng cấp lên phiên bản 6.11 hoặc áp dụng bản vá KB94152 trên các bản phát hành trước đó.

Lỗ hổng thứ hai có mức độ nghiêm trọng cao (CVSS v3: 7.2) được xử lý trong cùng một bản vá là CVE-2023-20890. Sự cố ghi tệp tùy ý này cho phép hacker với quyền truy cập admin vào mục tiêu có thể thực thi mã từ xa.

Do phần mềm này được sử dụng trong các tổ chức lớn, nắm giữ tài sản có giá trị, hacker có thể sẽ nhanh chóng tiến hành khai thác lỗ hổng.

Hồi tháng 6, VMware đã cảnh báo khách hàng của mình về việc khai thác tích cực CVE-2023-20887, một lỗ hổng thực thi mã từ xa ảnh hưởng đến Aria Operations for Networks. Các nỗ lực quét và khai thác hàng loạt bắt đầu một tuần sau khi nhà cung cấp đưa ra bản cập nhật an ninh, và chỉ hai ngày sau khi PoC được công bố.

Điều này có nghĩa, bất kỳ sự chậm trễ nào trong việc áp dụng bản vá KB94152 hoặc nâng cấp lên Aria phiên bản 6.11 sẽ khiến mạng của bạn có nguy cơ bị hacker tấn công.

Nguồn: Bleeping Computer