「Aria Operations for Networks」に深刻な脆弱性 - 認証回避のおそれ

マルチクラウド環境の監視機能を提供する「VMware Aria Operations for Networks（旧vRealize Network Insight）」に認証を回避される深刻な脆弱性が明らかとなった。アップデートが提供されている。

同社は現地時間8月29日にセキュリティアドバイザリをリリースし、2件の脆弱性を明らかにするとともに、アップデートを呼びかけたもの。

「CVE-2023-34039」は、コマンドラインインタフェースにおけるSSH接続で認証のバイパスが可能となる脆弱性。ユニークな暗号化キーを生成しないことに起因している。

また管理者のアクセス権限を持つ場合に、任意のファイルを書き込みできる脆弱性「CVE-2023-20890」があわせて判明した。

共通脆弱性評価システム「CVSSv3.1」において「CVE-2023-34039」のベーススコアを「9.8」、重要度を「クリティカル（Critical）」と評価。「CVE-2023-20890」についてはCVSS基本値を「7.2」、重要度を「高（High）」としている。

同社は、同脆弱性を「同6.11.0」にて修正した。あわせて「同6.10」「同6.9.0」「同6.8.0」「同6.7.0」「同6.6.0」「同6.5.1」「同6.4.0」「同6.3.0」「同6.2.0」向けにパッチを用意しており、適用を強く推奨している。

（Security NEXT - 2023/08/30 ）ツイート