شرکت VMware از وجود چندین آسیب‌پذیری حیاتی در محصول Aria Operations خود خبر داده است. این نقص‌ها می‌توانند به مهاجمان اجازه دهند تا سطح دسترسی خود را در سیستم‌های آسیب‌دیده، به root افزایش دهند.

این شرکت در یک توصیه‌نامه امنیتی، پنج آسیب‌پذیری مختلف را معرفی کرده است: دو آسیب‌پذیری افزایش سطح دسترسی با کدهای CVE-2024-38830 و CVE-2024-38831 که هر دو نمره 7.8 را در CVSSv3 کسب کرده‌اند و سه آسیب‌پذیری XSS با کدهای CVE-2024-38832 (نمره 7.1)، CVE-2024-38833 (نمره 6.8) و CVE-2024-38834 (نمره 6.5). 

به گفته‌ی VMware، دو نقص مربوط به افزایش سطح دسترسی (CVE-2024-38830 و CVE-2024-38831) به طور ویژه نگران‌کننده هستند، زیرا به مهاجمان با دسترسی مدیریتی local اجازه می‌دهند تا به سطح دسترسی root بر روی دستگاهی که VMware Aria Operations را اجرا می‌کند، ارتقاء پیدا کنند. این دسترسی می‌تواند منجر به کنترل کامل سیستم‌های آسیب‌دیده توسط مهاجمان گردد. 

سه آسیب‌پذیری دیگر (XSS) به مهاجمان امکان می‌دهند که اسکریپت‌های مخرب را در بخش‌هایی از برنامه نظیر «views»، «email templates» و «cloud provider settings» تزریق کنند. این اسکریپت‌ها زمانی اجرا می‌شوند که سایر کاربران به این بخش‌ها دسترسی پیدا کنند.

این آسیب‌پذیری‌ها نسخه‌های 8.x تا 8.18.1 نرم‌افزار VMware Aria Operations و همچنین نسخه‌های 4.x و 5.x نرم‌افزار VMware Cloud Foundation (که شامل Aria Operations است) را تحت تأثیر قرار می‌دهند.

شرکت VMware برای رفع این آسیب‌پذیری‌ها، اصلاحیه‌هایی ارائه کرده است. به کاربران اکیداً توصیه می‌شود تا نسخه VMware Aria Operations را به 8.18.2 به‌روزرسانی کنند. تمامی مشکلات مذکور در این نسخه برطرف شده است. شایان ذکر است که هیچ راه‌حل موقتی برای رفع این آسیب‌پذیری‌ها وجود ندارد.

این شرکت علاوه بر به‌روزرسانی فوری VMware Aria Operations به سازمان‌ها توصیه کرده است که کنترل‌های دقیقی را به منظور محدود کردن تعداد کاربران دارای دسترسی‌های مدیریتی انجام دهند. نظارت بر سیستم‌ها، شناسایی فعالیت‌های مشکوک و انجام ممیزی‌های جامع امنیتی برای اطمینان از عدم وجود تغییرات غیرمجاز در سیستم‌ها نیز از جمله اقدامات مورد توصیه VMware است.

شرکت VMware از چندین تیم پژوهشی امنیتی، از جمله تیم‌های MoyunSec Vlab، Bing، و CERT شرکت Michelin برای گزارش مسئولانه این آسیب‌پذیری‌ها تقدیر کرده است.