Une vulnérabilité critique affectant VMware Aria Automation et VMware Cloud Foundation peut être exploitée par des attaquants pour accéder à des organisations et à des flux de travail distants, a averti VMware.
Des correctifs sont disponibles et VMware recommande la mise à niveau vers VMware Aria Automation 8.16.
VMware Aria Automation est une plateforme d’automatisation d’infrastructure multi-cloud, incluse dans la plateforme de cloud hybride VMware Cloud Foundation.
Il affecte toutes les versions d’Aria Automation antérieures à la version 8.16 et les versions 5.x et 4.x de VMware Cloud Foundation. Il n’affecte pas VMware vCenter Server, VMware ESXi, Aria Orchestrator ou Aria Automation Cloud.
« Si vous choisissez une autre version au lieu de mettre à niveau vers la version 8.16, il est important de noter que le seul chemin de mise à niveau pris en charge après l’application du correctif est la version 8.16. VMware recommande fortement cette version. Si vous passez à une version intermédiaire, la vulnérabilité sera réintroduite, ce qui nécessitera une nouvelle série de correctifs. »
Il n’existe pas de solution de contournement, mais VMware indique qu’en fonction de leur niveau de sécurité, de leurs stratégies de défense en profondeur et de la configuration des pare-feu de périmètre et des pare-feu applicatifs, les entreprises peuvent mettre en œuvre des mesures d’atténuation et des contrôles compensatoires.