VMware Aria Operations for NetworksにCVSS v3スコア9.8の脆弱性 SSH認証をバイパス：セキュリティニュースアラート

VMwareのネットワーク監視ツール「Aria Operations for Networks」に「緊急」の脆弱性が見つかった。CVSS v3スコア9.8となっており、該当製品を使っている企業は直ちにアップデートしてほしい。

[後藤大地，有限会社オングス]

　VMwareは2023年8月29日（現地時間）、ネットワーク監視ツール「VMware Aria Operations for Networks」（以下、Aria Operations for Networks）に深刻な脆弱（ぜいじゃく）性が存在するとして、セキュリティアドバイザリを発行した。

　そのうち1つはCVSSスコア9.8に分類されるため注意が必要だ。該当製品を使用している場合は直ちにアップデートを適用してほしい。

VMwareはAria Operations for Networksに関するセキュリティアドバイザリを発行した（出典：VMwareのWebサイト）

CVSS v3スコアは9.8　該当製品ユーザーは直ちにアップデートを

　今回修正対象の主な脆弱性は以下の通りだ。

• CVE-2023-34039：　共通脆弱性評価システム（CVSS）v3スコア9.8で深刻度「緊急」（Critical）の脆弱性。固有の暗号キー生成が欠けている部分があり、認証バイパスが可能になっている。これによってサイバー攻撃者はSSH認証をバイパスしてAria Operations for NetworksのCLIにアクセスできる
• CVE-2023-20890：　CVSS v3スコア7.2で深刻度「重要」（Important）の脆弱性。管理者権限を取得されると任意の場所にファイルの書き込みが可能となり、リモートからコードを実行される危険性がある

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Aria Operations for Networks 6.x（6.11よりも前のバージョン）

　脆弱性が修正されたバージョンは以下の通りだ。

• Aria Operations for Networks 6.11
• Aria Operations for Networks 6.x KB94152

　Aria Operations for Networksには以前も類似した脆弱性が見つかったことがあり、そのときはすぐにサイバー攻撃への転用が行われている。該当製品を使用している場合には迅速にアップデートを適用することが望まれる。