VMware敦促客户修补关键的Aria Automation漏洞

VMware 敦促客户修补外部研究人员在其 Aria Automation 多云基础设施自动化平台中发现的关键漏洞。

该漏洞的编号为CVE-2023-34063，CVSS 评分为 9.9，影响 8.16 之前版本的 Aria Automation（以前称为 vRealize Automation）以及 Cloud Foundation。

1. 受影响的产品 VMware Aria Automation（以前称为 vRealize Automation） VMware 云基础（Aria 自动化） 2. 简介 Aria Automation 中的访问控制缺失漏洞已私下报告给 VMware。已提供更新来修复受影响的 VMware 产品中的此漏洞。 3. Aria Automation 缺少访问控制漏洞 (CVE-2023-34063) 描述 Aria Automation 包含缺少访问控制漏洞。VMware 已将此问题的严重性评估为 “严重”严重性范围 ，最高 CVSSv3 基本分数为9.9。 已知的攻击媒介 经过身份验证的恶意行为者可能会利用此漏洞，导致对远程组织和工作流程进行未经授权的访问。 解决 要修复 CVE-2023-34063，请应用下面“响应矩阵”的“固定版本”列中列出的补丁。 解决方法 没有任何。  附加文档 创建了补充常见问题解 答以进行进一步说明。请参阅：https://via.vmw.com/vmsa-2024-0001-qna

该缺陷被描述为缺少访问控制问题，可能允许经过身份验证的攻击者获得对远程组织和工作流程的未经授权的访问。

VMware已针对每个受影响的版本发布了补丁，并敦促客户尽快安装。不过，该公司指出，目前尚不清楚存在野外利用情况。 

“用 ITIL 术语来说，这种情况属于紧急变更，需要您的组织立即采取行动。但是，适当的安全响应会根据具体情况而有所不同。咨询您组织的信息安全人员以确定适合您组织需求的最佳行动方案非常重要，”VMware 在一份常见问题解答文档中表示。

这家博通旗下的虚拟化巨头称赞联邦科学与工业研究组织 (CSIRO) 的科学计算平台团队报告了该漏洞。 

威胁行为者在攻击中利用VMware 产品漏洞的情况并不罕见。美国安全机构 CISA 维护的  已知被利用漏洞目录目前包括 21 个 VMware 漏洞，其中包括影响 Aria 产品的漏洞。

— 欢迎关注 —

原文始发于微信公众号（祺印说信安）：VMware敦促客户修补关键的Aria Automation漏洞