Kritische Sicherheitslücke: VMware vergaß Zugriffskontrollen in Aria Automation
Angreifer mit einem gültigen Konto können sich erweiterte Rechte verschaffen. VMWare bietet Patches an, Cloud-Kunden bleiben verschont.
(Bild: heise online / dmk)
Offenbar fehlte an einer entscheidenden Stelle in Aria Automation, Teil von VMwares hauseigener Automatisierungs- und Orchestrierungslösung, ein Mechanismus zur Zugriffskontrolle. Wie der unlängst von Broadcom geschluckte Cloud-Konzern in einer Warnung an seine Kunden mitteilt, können Angreifer die Sicherheitslücke zur Rechteausweitung nutzen.
Über die Details der Lücke und mögliche Auswirkungen schweigt sich VMware weitgehend aus, aus dem hohen CVSS-Wert von 9,9 und dem CVSS-Vektor lassen sich jedoch einige Details entnehmen. So ist die Sicherheitslücke (CVE-2023-34063) zwar aus der Ferne recht einfach auszunutzen, Angreifer benötigen jedoch ein Nutzerkonto in der betroffenen Instanz von Aria Automation. Sie können dann ihre Privilegien erhöhen, was zu Auswirkungen auf die Integrität und Verfügbarkeit führt.
Updates und FAQs bei VMware
Alle Versionen vor 8.16 sind angreifbar und Kunden sollten zügig patchen. Zwar gibt VMware an, noch keine Angriffsversuche in freier Wildbahn gesehen zu haben, das könnte sich jedoch bald ändern. Der Sicherheitshinweis auf der VMware-Webseite macht detaillierte Angaben über die Patch-Prozedur und weitere Gegenmaßnahmen.
Auf einer eigens eingerichteten Webseite liefert der Hersteller noch einige Fragen und Antworten für Betroffene.
Produkte aus VMwares Aria-Produktreihe (früher bekannt als vRealize) haben zuletzt im Herbst mit Sicherheitslücken zu kämpfen gehabt. Damals waren auch schnell Exploits im Umlauf, wie die US-Cybersicherheitsbehörde CISA meldete.
Es handelt sich um eine Sicherheitslücke in Aria Automation, nicht Aria Operations. Wir haben die entsprechenden Textpassagen und die Überschrift angepasst, vielen Dank an den aufmerksamen Leser im Forum für den Hinweis!
(cku)
