Ariaの脆弱性

ほぼこもセキュリティニュース By Terilogy Worx

ここでいう今回のAriaはVMware Aria Operations for Networksです。
Ariaは複数のマルチクラウド環境にまたがる、安全かつ可用性の高い、最適化されたネットワーク インフラストラクチャを構築する際に使用できる製品です。
このツールで新たな脆弱性が案内されています。

  • CVE-2023-20887
    これはコマンドインジェクションの脆弱性です。
    認証されていない攻撃者がユーザーの操作を必要としない複雑さの低い攻撃に悪用する可能性があります。
    設置された製品にネットワークアクセスできる悪意のある攻撃者は、それだけでリモートでコードを実行するコマンドインジェクション攻撃を実行できる可能性があります。
    CVSSv3のBaseスコアは9.8です。
    パッチが提供されていますが、パッチ適用以外の回避策はありません。
  • CVE-2023-20888
    これは逆シリアル化の脆弱性です。
    設置された製品にネットワークアクセスできて有効な認証情報を持っている悪意のある攻撃者は、脆弱性を悪用してリモートコード実行を起こさせる可能性があります。
    CVSSv3のBaseスコアは9.1です。
    パッチが提供されていますが、パッチ適用以外の回避策はありません。
  • CVE-2023-20889
    これは情報漏洩の脆弱性です。
    リモートコード実行できるようになってしまった製品上で、製品上にある機密情報にアクセスできるようになってしまうものです。
    CVSSv3のBaseスコアは8.8です。
    パッチが提供されていますが、パッチ適用以外の回避策はありません。

いずれも重大度が高い脆弱性です。
そしていずれも、ここの設定をこう変更すればとりあえず問題の発生は抑制できますよ、等の回避策は確認されていません。
脆弱性の解消のためには修正済みの状態にするためにパッチを適用するしかありません。
対象のバージョンは6.2 / 6.3 / 6.4 / 6.5.1 / 6.6 / 6.7 / 6.8 / 6.9 / 6.10です。
利用されている環境がある場合は速やかにバージョンを確認して対策したいです。
対象範囲よりも低いようなバージョンの場合は、別の問題が内在していることも考えられますので、いずれにしろ更新するのがよさそうです。

参考記事(外部リンク):VMSA-2023-0012
www.vmware.com/security/advisories/VMSA-2023-0012.html

参考記事(外部リンク):Addressing CVE-2023-20887, CVE-2023-20888, CVE-2023-20889 in VMware Aria Operations for Networks (Formerly vRealize Network Insight) On-Prem installations (92684)
kb.vmware.com/s/article/92684

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。