VMware ha rilasciato aggiornamenti di sicurezza per correggere ben tre vulnerabilità in Aria Operations for Networks che potrebbero risultare in divulgazione di informazioni ed esecuzione remota di codice (ovviamente malevolo) e non era passato molto tempo dai precedenti aggiornamenti di sicurezza.
VMWARE e Cisco, ecco in caosa consistono gli aggiornamenti di sicurezza
La più critica delle tre vulnerabilità è una vulnerabilità di iniezione di comandi tracciata come CVE-2023-20887 (punteggio CVSS: 9.8) che potrebbe permettere a un attore malevolo con accesso alla rete di ottenere l’esecuzione remota di codice.
VMware ha anche risolto un’altra vulnerabilità di deserializzazione (CVE-2023-20888) che ha ottenuto un punteggio di 9.1 su un massimo di 10 nel sistema di valutazione CVSS.
“Un malintenzionato con accesso alla rete su VMware Aria Operations for Networks e con credenziali valide di ruolo ‘membro’ potrebbe essere in grado di eseguire un attacco di deserializzazione che risulta in esecuzione remota di codice“, ha detto l’azienda in un suo avviso.
Il terzo difetto di sicurezza è un bug di divulgazione di informazioni ad alta gravità (CVE-2023-20889, punteggio CVSS: 8.8) che potrebbe permettere a un attore con accesso alla rete di eseguire un attacco di iniezione di comandi e ottenere accesso a dati sensibili.
Le tre mancanze, che impattano sulla versione 6.x di VMware Aria Operations Networks, sono state risolte nelle seguenti versioni: 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 e 6.10. Non esistono soluzioni alternative che attenuino questi problemi, almeno per il momento.
L’allarme arriva mentre Cisco ha distribuito correzioni per un difetto critico nelle sue serie Expressway e TelePresence Video Communication Server (VCS) che potrebbe “consentire a un attaccante autenticato con credenziali di sola lettura di livello amministratore di elevare i loro privilegi a Amministratore con credenziali di lettura-scrittura su un sistema interessato”.
La vulnerabilità di escalation dei privilegi (CVE-2023-20105, punteggio CVSS: 9.6), ha dichiarato, deriva da una gestione scorretta delle richieste di cambio password, permettendo così a un attaccante di modificare le password di qualsiasi utente sul sistema, incluso un utente amministrativo con accesso di lettura-scrittura, e quindi impersonare quell’utente.
Una seconda vulnerabilità molto grave nello stesso prodotto (CVE-2023-20192, punteggio CVSS: 8.4) potrebbe consentire a un attaccante autenticato e locale di eseguire comandi e modificare i parametri di configurazione del sistema.
Come soluzione alternativa per CVE-2023-20192, Cisco raccomanda ai clienti di disabilitare l’accesso CLI per gli utenti con accesso in sola lettura. Entrambi i problemi sono stati affrontati nelle versioni VCS 14.2.1 e 14.3.0, rispettivamente.
Nonostante non ci siano prove che alcuna delle suddette vulnerabilità sia stata abusata in natura, è fortemente consigliato correggere le vulnerabilità il più presto possibile per mitigare i potenziali rischi.
Gli avvisi seguono anche la scoperta di tre bug di sicurezza in RenderDoc (CVE-2023-33863, CVE-2023-33864 e CVE-2023-33865), un debugger grafico open-source, che potrebbe consentire a un consigliere di ottenere privilegi elevati ed eseguire codice arbitrario.
Se usi prodotti CISCO e VMWARE ecco come comportarti
Nel caso tu sia (difficile, ma non si sa mai) un utente di VMware Aria Operations for Networks e Cisco Expressway Series e TelePresence Video Communication Server ti consiglio di installare gli aggiornamenti di sicurezza appena possibile per mitigare il rischio associato a queste vulnerabilità.
Oltretutto è bene controllare costantemente gli avvisi di sicurezza emessi dai fornitori e eseguire scansioni di sicurezza regolari per identificare eventuali nuove vulnerabilità; ricorda di usare credenziali forti (nel senso niente password banali) per ogni account e di attivare l’autenticazione a due fattori quando è disponibile.
Da ricordare sempre che gli aggiornamenti (siano di Windows, Linux, etc.) non sono “quella cosa noiosa che non serve”, come pensano molte persone, ma sono utili per sistemare non poche problematiche.
