La vulnerabilidad, identificada con el código CVE-2023-34063 y con una calificación Crítica CVSS de 9,9, impacta en Aria Automation (anteriormente conocido como vRealize Automation), así como en Cloud Foundation.
VMware Aria Automation es una poderosa plataforma de gestión de la nube (CMP: Cloud Management Platform) misma que agiliza la implementación de aplicaciones y recursos en diversos entornos.
Esta falla es una vulnerabilidad de Missing Access Control, lo cual podría permitir que un atacante autenticado obtener acceso no autorizado a organizaciones y flujos de trabajo remotos. La explotación exitosa podría comprometer datos confidenciales e interrumpir operaciones críticas.
VMware lanzó parches para cada una de las versiones afectadas y sugiere a los clientes a instalarlos lo antes posible. También ha confirmado que, de momento, no hay evidencia que esta vulnerabilidad haya sido explotada en ataques.
VMware Aria Automation versión 8.16 NO se ve afectada.
Productos Afectados
- VMware Aria Automation versiones 8.11.x, 8.12.x, 8.13.x, 8.14.x.
- VMware Cloud Foundation versiones 5.x, 4.x.
Solución
- VMware Aria Automation versiones 8.11.2+parche, 8.12.2+parche, 8.13.1+parche, 8.14.1+parche.
- VMware Cloud Foundation parche KB96136.
Se debe actualizar a la versión indicada y posteriormente aplicar el parche correspondiente que se indica en la página del proveedor.
Recomendaciones
- Actualizar lo antes posible todos sus servicios de VMware para mitigar los riesgos potenciales.
- Consultar frecuentemente la página del proveedor para mantenerse informado de futuras actualizaciones.
Referencias:
- https://securityonline.info/cve-2023-34063-cvss-9-9-a-critical-flaw-in-vmware-aria-automation/?expand_article=1
- https://www.securityweek.com/vmware-urges-customers-to-patch-critical-aria-automation-vulnerability/
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2023-34063
- https://www.vmware.com/security/advisories/VMSA-2024-0001.html