Ariaの脆弱性
ここでいう今回のAriaはVMware Aria Operations for Networksです。
Ariaは複数のマルチクラウド環境にまたがる、安全かつ可用性の高い、最適化されたネットワーク インフラストラクチャを構築する際に使用できる製品です。
このツールで新たな脆弱性が案内されています。
- CVE-2023-20887
これはコマンドインジェクションの脆弱性です。
認証されていない攻撃者がユーザーの操作を必要としない複雑さの低い攻撃に悪用する可能性があります。
設置された製品にネットワークアクセスできる悪意のある攻撃者は、それだけでリモートでコードを実行するコマンドインジェクション攻撃を実行できる可能性があります。
CVSSv3のBaseスコアは9.8です。
パッチが提供されていますが、パッチ適用以外の回避策はありません。 - CVE-2023-20888
これは逆シリアル化の脆弱性です。
設置された製品にネットワークアクセスできて有効な認証情報を持っている悪意のある攻撃者は、脆弱性を悪用してリモートコード実行を起こさせる可能性があります。
CVSSv3のBaseスコアは9.1です。
パッチが提供されていますが、パッチ適用以外の回避策はありません。 - CVE-2023-20889
これは情報漏洩の脆弱性です。
リモートコード実行できるようになってしまった製品上で、製品上にある機密情報にアクセスできるようになってしまうものです。
CVSSv3のBaseスコアは8.8です。
パッチが提供されていますが、パッチ適用以外の回避策はありません。
いずれも重大度が高い脆弱性です。
そしていずれも、ここの設定をこう変更すればとりあえず問題の発生は抑制できますよ、等の回避策は確認されていません。
脆弱性の解消のためには修正済みの状態にするためにパッチを適用するしかありません。
対象のバージョンは6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10です。
利用されている環境がある場合は速やかにバージョンを確認して対策したいです。
対象範囲よりも低いようなバージョンの場合は、別の問題が内在していることも考えられますので、いずれにしろ更新するのがよさそうです。
参考記事(外部リンク):VMSA-2023-0012
www.vmware.com/security/advisories/VMSA-2023-0012.html参考記事(外部リンク):Addressing CVE-2023-20887, CVE-2023-20888, CVE-2023-20889 in VMware Aria Operations for Networks (Formerly vRealize Network Insight) On-Prem installations (92684)
kb.vmware.com/s/article/92684
