CVE-2023-20887

VMware Aria Operations for Networks

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-06-22

Официальное описание

VMware Aria Operations for Networks (formerly vRealize Network Insight) contains a command injection vulnerability that allows a malicious actor with network access to perform an attack resulting in remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-20887 представляет собой критическую уязвимость типа Command Injection (инъекция команд) в продукте VMware Aria Operations for Networks (ранее vRealize Network Insight). Уязвимость оценивается в 9.8 баллов по шкале CVSSv3.

Проблема заключается в недостаточной фильтрации входных данных в API-интерфейсе платформы. Злоумышленник, имеющий сетевой доступ к приложению, может отправить специально сформированный запрос, который позволит выполнить произвольные системные команды в контексте операционной системы. Это приводит к полному удаленному выполнению кода (RCE) без необходимости предварительной аутентификации.

Как исправить

Основным способом устранения уязвимости является обновление продукта до версий, в которых данная брешь закрыта. VMware выпустила соответствующие патчи для поддерживаемых веток продукта.

  1. Определите текущую версию вашего продукта. Уязвимости подвержены версии 6.x.
  2. Скачайте соответствующий патч (Update Bundle) с портала VMware Customer Connect.
  3. Установите обновление через интерфейс Aria Operations for Networks (Settings -> Infrastructure -> Software Update).

Версии, содержащие исправление: - 6.10.0 (и выше) - 6.9.0 (с установленным патчем) - 6.8.0 (с установленным патчем) - 6.7.0 (с установленным патчем) - 6.3.0.1 (с установленным патчем)

Команда для проверки текущей версии через CLI:

show-version

Временные меры

Если немедленное обновление системы невозможно, необходимо принять меры по ограничению векторов атаки. VMware не предоставила официальных скриптов для временного исправления (workaround) без обновления, поэтому рекомендуется выполнить следующие действия:

  1. Ограничьте сетевой доступ к интерфейсу управления Aria Operations for Networks. Доступ должен быть разрешен только из доверенных сегментов сети (Management VLAN) и только для администраторов.
  2. Настройте правила межсетевого экрана (Firewall) для блокировки входящего трафика на порты управления (обычно 443) со стороны публичных сетей и недоверенных зон.
  3. Используйте системы обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга подозрительных POST-запросов к API-эндпоинтам.
  4. Проверьте логи системы на предмет подозрительной активности.

Команда для проверки активных сетевых соединений на узле:

netstat -tulpn
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей