28/67 (IT) ประจำวันศุกร์ที่ 19 มกราคม 2567
VMware เตือนลูกค้าถึงช่องโหว่ระดับ Critical ที่ส่งผลกระทบต่อ multi-cloud infrastructure automation platform ของ Aria Automation โดย VMware Aria Automation (ชื่อเดิมเรียกว่า vRealize Automation ) เป็นแพลตฟอร์มระบบอัตโนมัติบนคลาวด์ที่ช่วยลดความยุ่งยากและเพิ่มประสิทธิภาพในการปรับใช้ การจัดการพื้นฐานและแอปพลิเคชันบนคลาวด์ โดยเป็นแพลตฟอร์มแบบครบวงจรสำหรับการทำงานอัตโนมัติในสภาพต่างๆ รวมถึง VMware Cloud on AWS, VMware Cloud on Azure และ VMware Cloud Foundation
VMware ได้แก้ไขช่องโหว่ที่ CVE-2023-34063 (คะแนน CVSS 9.9) ซึ่งส่งผลกระทบต่อแพลตฟอร์ม Aria Automation คือช่องโหว่ในการ Missing Access Control ซึ่งสามารถถูกโจมตีจากผู้โจมตีที่ได้รับการตรวจสอบสิทธิ์เพื่อเข้าถึงองค์กรระยะไกลโดยไม่ได้รับอนุญาตและ workflow ช่องโหว่ดังกล่าวถูกพบโดยทีม Commonwealth Scientific and Industrial Research Organisation (CSIRO)
ช่องโหว่ที่ CVE-2023-34063 ได้ส่งผลกระทบต่อเวอร์ชันก่อน 8.16 และ Cloud Foundation ซึ่งทาง VMware แนะนำให้ผู้ใช้งานอัปเดตการติดตั้งแพลตฟอร์มเป็นเวอร์ชัน 8.16
แหล่งข่าว https://securityaffairs.com/157576/security/vmware-aria-automation.html
