VMware Patches Major Security Flaws in Network Monitoring Product
2023/08/29 SecurityWeek — 8月29日 (火) に VMware は、Aria Operations for Networks 製品ラインに存在する、2件の深刻な脆弱性を修正するため、大規模なセキュリティ・アップデートを配布した。VMware は緊急アドバイザリにおいて、これらの脆弱性の悪用に成功した脅威アクターは SSH 認証をバイパスし、Aria Operations for Networks のコマンドライン・インターフェイスにアクセスする可能性があると述べている。VMware は、このネットワーク認証バイパスの脆弱性 CVE-2023-34039 について、CVSS 値 9.8 と評価している。
VMware は、「Aria Operations for Networks には、一意の暗号キー生成の欠如による、認証バイパスの脆弱性が存在する。この問題の深刻度について、CVSSv3 値 9.8 (Critical) と評価する」と述べている。
VMware Aria Operations for Networks (旧 vRealize Network Insight) は、ネットワークとアプリケーションを監視/検証/分析し、クラウド全体で安全なネットワーク・インフラを構築するために使用される製品である。
この脆弱性の影響を受けるのは Aria Operations for Networks の Collectors であるが、プラットフォーム・アプライアンスをアップグレードすることで問題を修復できると、VMware は顧客にアドバイスしている。
さらに VMware は、VMware Aria Operations for Networks の管理者権限を持つ認証済みの脅威アクターに対して、任意の場所へのファイルを書き込みを許す、2つ目の脆弱性 CVE-2023-20890 に対するパッチもリリースしている。
VMware は、Aria Operations for Networks のセキュリティ問題に苦慮しており、つい先日にも、リモート・コマンド・インジェクションの欠陥にパッチを当てたたばかりだ。
なお、Aria Operations for Network の脆弱性は、米国政府の CISA Known Exploited Vulnerabilities カタログにも掲載されている。
直近の VMware に関するトピックは、2023/08/04 の「VMware vConnector などを装う悪意の PyPI パッケージ:開発者をターゲットに展開」であり、その前は 2023/07/29 の「Abyss Locker ランサムウェア Linux 版:VMware ESXi サーバを狙っている」でした。今年に入ってから、VMware は様々な脅威アクターに狙われているため、この Aria Operations for Networks の脆弱性も、とても心配です。それもあり、早々と CISA の KEV にも取り上げられたのでしょう。
IoT OT Security News 
You must be logged in to post a comment.