Kriittisiä haavoittuvuuksia VMware Aria Operations for Networks -ohjelmistossa

VMware on julkaissut päivityksen, joka korjaa kaksi kriittistä haavoittuvuutta Aria Operations for Networks -ohjelmassa. Haavoittuvuuksien ansiosta hyökkääjät voivat ohittaa todennuksen ja saada koodin etäsuorittamisen korjaamattomissa laitteissa.

Kriittisen haavoittuvuuden hyväksikäyttö mahdollistaa hyökkääjälle Aria Operations for Networks - verkon kautta voida ohittaa SSH-todennuksen päästäkseen Aria Operations for Networksin käyttöliittymään.

Päivitys 3.9.2023
SSH-todennukseen liittyvään haavoittuvuuteen (CVE-2023-34039) on julkisesti saatavilla hyväksikäytön havainnollistava esimerkkikoodi (PoC), joten haavoittuvuuden hyväksikäytön todennäköisyys on noussut merkittävästi. Laajamittaisen hyväksikäytön alkamisen jälkeen edelleen haavoittuville järjestelmille tulee suorittaa ohjelmistopäivityksen lisäksi myös tietomurtotutkinta.

Toisella haavoittuvuudella hyökkääjä voi kirjoittaa tiedostoja mihin vain haluamaansa paikkaan. Tämä mielivaltainen tiedostojen kirjoitushaavoittuvuus mahdollistaa hyökkääjän suorittaa etäkoodia haavoittuvassa laitteessa.

Nämä haavoittuvuudet (CVE-2023-34039, CVE-2023-20890) vaikuttavat VMware Aria Operations for Networks 6.10 sekä aikaisemmissa versiossa.

Päivittäminen tulee tehdä järjestelmän ylläpitäjän toimesta.

Haavoittuvuuden kohde

VMware Aria Operations for Networks 6.10, sekä aiemmat ohjelmistoversiot.

Mistä on kysymys?

Korjaava ohjelmistopäivitys.

Mitä voin tehdä?

VMWare: Tiedote VMSA-2023-0018

VMWare päivitysohjeet

CVE-2023-30439

CVE-2023-20890

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.