Nuevas vulnerabilidades en Aria Operations for Networks

Varios CVE y VMSA declarados
19 de septiembre de 2023 por
Nuevas vulnerabilidades en Aria Operations for Networks
Souto, Luciana

Se detectaron las siguientes vulnerabilidades que afectan a todas las versiones de Aria Operations for Networks o vRNI (vRealize Network Insight) para todas las versiones inferiores a 6.11:


Authentication Bypass Vulnerability (CVE-2023-34039)


Esta vulnerabilidad que VMware ha evaluado con un score CVSSv3 crítico de 9.8 impacta en la autenticación debido a la falta de generación de una clave criptográfica única; lo que conlleva que un atacante podría tener acceso en Aria Operations for Networks pasando por la autenticación de SSH y así teniendo total libertad sobre el CLI de la plataforma.


Arbitrary File Write Vulnerability (CVE-2023-20890)


Esta vulnerabilidad con un score CVSSv3 de 7.2 afecta a la escritura de archivos. Esto significa que un atacante que cuente con acceso administrativo a la plataforma pueda escribir sobre archivos arbitrarios en la plataforma, generando ocasionalmente en ejecución de código remoto.


Resolución


Para mitigar las vulnerabilidades mencionadas se plantean las siguientes recomendaciones:

  • Realizar una actualización en la plataforma a su fixed version (6.11)

  • Aplicar un parche en la versión actual de la plataforma.

    • Se puede consultar al siguiente artículo de VMware para saber el patch bundle correspondiente a la versión del applaince



Glosario


¿Qué es VMSA?


La sigla VMSA representa VMware Security Advisory y forma parte de VMWare Security Solutions. Su misión es documentar remediaciones para las vulnerabilidades de seguridad reportadas en los productos de VMware. Una vez recibido los reportes o detectadas por el fabricante, se notifican, se asigna un identificador CVE y se asigna un puntaje CVSS.


¿Qué es CVSS? 


Es un estándar abierto bajo dominio de FIRST. CVSS representa “Common Vulnerability Score System” que, como su nombre indica, es un sistema de puntaje para estimar el impacto que pueden llegar a implicar las vulnerabilidades. A la hora de determinar qué nivel de riesgo puede determinar una amenaza se emplea una escala que se establece entre el 0 y 10.


Common Vulnerabilities and Exposures es una base de datos de vulnerabilidades que son públicamente conocidas. Su supervisión corre por cuenta de MITRE Corporation, con asistencia financiera de la Agencia de Seguridad de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional de Estados Unidos. En este caso, a las vulnerabilidades que se registran en en esta base, a su vez, se les asigna un score conforme a CVSS para poder identificar la complejidad de la vulnerabilidad y poder gozar de un criterio más exacto a la hora de la toma de decisiones.


Documentación adicional