Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

VMware on julkaissut päivityksen, joka korjaa kaksi kriittistä haavoittuvuutta Aria Operations for Networks -ohjelmassa. Haavoittuvuuksien ansiosta hyökkääjät voivat ohittaa todennuksen ja saada koodin etäsuorittamisen korjaamattomissa laitteissa.

Kriittisen haavoittuvuuden hyväksikäyttö mahdollistaa hyökkääjälle Aria Operations for Networks - verkon kautta voida ohittaa SSH-todennuksen päästäkseen Aria Operations for Networksin käyttöliittymään. 

Päivitys 3.9.2023
SSH-todennukseen liittyvään haavoittuvuuteen (CVE-2023-34039) on julkisesti saatavilla hyväksikäytön havainnollistava esimerkkikoodi (PoC), joten haavoittuvuuden hyväksikäytön todennäköisyys on noussut merkittävästi. Laajamittaisen hyväksikäytön alkamisen jälkeen edelleen haavoittuville järjestelmille tulee suorittaa ohjelmistopäivityksen lisäksi myös tietomurtotutkinta.

Toisella haavoittuvuudella hyökkääjä voi kirjoittaa tiedostoja mihin vain haluamaansa paikkaan. Tämä mielivaltainen tiedostojen kirjoitushaavoittuvuus mahdollistaa hyökkääjän suorittaa etäkoodia haavoittuvassa laitteessa.

Nämä haavoittuvuudet (CVE-2023-34039, CVE-2023-20890) vaikuttavat VMware Aria Operations for Networks 6.10 sekä aikaisemmissa versiossa. 

Päivittäminen tulee tehdä järjestelmän ylläpitäjän toimesta.
 

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

VMware Aria Operations for Networks 6.10, sekä aiemmat ohjelmistoversiot.

Mistä on kysymys?

Korjaava ohjelmistopäivitys.

Mitä voin tehdä?

Lisätty tieto haavoittuvuuden hyväksikäytön havainnollistavan esimerkkikoodin julkaisusta (PoC).