08 Haziran 2023Ravie LakshmananAğ Güvenliği / Güvenlik Açığı
VMware’in sahip olduğu piyasaya sürülmüş Aria Operations for Networks’te bilgilerin açığa çıkmasına ve uzaktan kod yürütülmesine neden olabilecek üç kusuru düzeltmek için güvenlik güncellemeleri.
Üç güvenlik açığından en kritik olanı, şu şekilde izlenen bir komut enjeksiyon güvenlik açığıdır: CVE-2023-20887 (CVSS puanı: 9.8), ağ erişimi olan kötü niyetli bir aktörün uzaktan kod yürütmesine izin verebilir.
Ayrıca VMware tarafından yamalanan başka bir seri kaldırma güvenlik açığı (CVE-2023-20888) CVSS puanlama sisteminde maksimum 10 üzerinden 9,1 olarak derecelendirilmiştir.
Şirket bir danışma belgesinde, “Ağlar için VMware Aria Operations’a ağ erişimi ve geçerli ‘üye’ rolü kimlik bilgilerine sahip kötü niyetli bir aktör, uzaktan kod yürütmeyle sonuçlanan bir seriyi kaldırma saldırısı gerçekleştirebilir.”
Üçüncü güvenlik kusuru, yüksek öneme sahip bir bilgi ifşa hatasıdır (CVE-2023-20889CVSS puanı: 8.8), ağ erişimi olan bir aktörün komut enjeksiyon saldırısı gerçekleştirmesine ve hassas verilere erişim elde etmesine izin verebilir.
VMware Aria Operations Networks sürüm 6.x’i etkileyen üç eksiklik giderildi. iyileştirilmiş aşağıdaki sürümlerde: 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 ve 6.10. Sorunları azaltan geçici çözümler yoktur.
Uyarı Cisco olarak gelir sevk edildi Expressway Serisinde ve TelePresence Video İletişim Sunucusunda (VCS) “Yönetici düzeyinde salt okunur kimlik bilgilerine sahip kimliği doğrulanmış bir saldırganın, etkilenen bir sistemde okuma-yazma kimlik bilgilerine sahip Yönetici ayrıcalıklarını yükseltmesine izin verebilecek” kritik bir kusur için düzeltmeler.
Ayrıcalık yükseltme kusurunun (CVE-2023-20105, CVSS puanı: 9.6), parola değiştirme isteklerinin yanlış işlenmesinden kaynaklandığı ve böylece bir saldırganın yönetici okuma-yazma da dahil olmak üzere sistemdeki herhangi bir kullanıcının parolalarını değiştirmesine izin verildiği belirtildi. kullanıcı ve ardından bu kullanıcının kimliğine bürünün.
Aynı üründeki ikinci bir yüksek önem dereceli güvenlik açığı (CVE-2023-20192, CVSS puanı: 8.4), kimliği doğrulanmış, yerel bir saldırganın komutları yürütmesine ve sistem yapılandırma parametrelerini değiştirmesine izin verebilir.
CVE-2023-20192 için geçici bir çözüm olarak Cisco, müşterilerin salt okunur kullanıcılar için CLI erişimini devre dışı bırakmasını önermektedir. Her iki sorun da sırasıyla VCS 14.2.1 ve 14.3.0 sürümlerinde ele alınmıştır.
Bahsedilen kusurlardan herhangi birinin vahşi ortamda kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, potansiyel riskleri azaltmak için güvenlik açıklarının mümkün olan en kısa sürede yama yapılması önemle tavsiye edilir.
Tavsiyeler ayrıca aşağıdakileri de takip eder: keşif ile ilgili üç güvenlik hatası RenderDoc’ta (CVE-2023-33863, CVE-2023-33864Ve CVE-2023-33865), bir danışma belgesinin yükseltilmiş ayrıcalıklar kazanmasına ve rasgele kod yürütmesine izin verebilecek açık kaynaklı bir grafik hata ayıklayıcı.