VMware demande à ses clients de corriger immédiatement les failles critiques du logiciel réseau Aria
Des correctifs pour deux vulnérabilités VMware qui peuvent menacer les opérations réseau des entreprises ont été publiés par l'éditeur. L'une d'elles, particulièrement critique, est affectée du score 9,8 sur l'échelle du système Common Vulnerability Scoring System (CVSS).
VMware alerte sur des problèmes de sécurité potentiels et invite ses clients à mettre à jour ou à patcher sans délai son logiciel Aria for Network Operations. La plateforme de gestion multi-cloud Aria intègre des services jusque-là distincts, comme vRealize Automation, vRealize Operations, vRealize Network Insight et CloudHealth. À partir de la seule console Aria Hub, les clients ont accès à des vues et à des contrôles centralisés pour voir et gérer l'ensemble de l'environnement multi-cloud. Les vulnérabilités se situent dans Aria Operations for Networks, un composant de surveillance capable d'identifier des retards d'exécution dans les applications en fonction de la latence du trafic TCP et des retransmissions, et de déclencher des alertes sur le tableau de bord des applications.
Plus précisément, l'éditeur a déclaré qu'Aria Operations for Networks contenait deux vulnérabilités. La première, la plus grave, est une faille de contournement d'authentification ou Authentication Bypass due à l'absence de génération d'une clé cryptographique unique. VMware a affecté cette faille du score CVSS (Common Vulnerability Scoring System) maximal de 9,8 sur 10, ce qui signifie que la vulnérabilité est particulièrement critique. « L'Authentication Bypass pourrait permettre à un acteur malveillant disposant d'un accès réseau à Aria Operations for Networks de contourner l'authentification Secure Sockets Shell (SSH) pour accéder à l'interface de ligne de commande CLI d'Aria Operations for Networks, et déclencher toutes sortes de problèmes de contrôle », a déclaré VMware.
Quant à la seconde faille, il s'agit d'une vulnérabilité d'écriture arbitraire de fichier, dont le score CVSS est de 7,2. « Avec la vulnérabilité d'écriture de fichier, un attaquant authentifié disposant d'un accès admin à Aria Operations for Networks pourrait écrire des fichiers à des emplacements arbitraires et entraîner ainsi l'exécution de code à distance », a par ailleurs déclaré VMware. Les versions 6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10 d'Aria Operations for Networks On-Prem sont concernées par ces vulnérabilités. Le fournisseur a indiqué que la mise à niveau vers la version 6.11 corrigeait ces problèmes. Les clients peuvent également télécharger les correctifs pour ces vulnérabilités à l'adresse https://kb.vmware.com/s/article/94152.
