Anciennement connu sous le nom vRealize Automation, Aria Automation comprend une vulnérabilité critique à corriger rapidement, souligne VMware dans un bulletin de sécurité. La plateforme d’automatisation des infrastructures multi-cloud peut servir à des cybercriminels à accéder à distance au réseau d’une entreprise et à ses workflow. L’offre Cloud Foundation est également concernée si les produits ont été déployés à l'aide d'Aria Suite Lifecycle Manager

La faille référencée CVE-2023-34063 et affectée d’un score de 9,9 sur 10 sur l'échelle de gravité CVSS, résulte d’un problème de « contrôle d'accès manquant ». La vulnérabilité a été signalée en privé à l'entreprise et à l'heure actuelle, VMware n'a pas connaissance d'une exploitation active de la brèche.

Mettre à jour Aria Automation avant de corriger la vulnérabilité

Toutes les versions prises en charge d'Aria Automation sont concernées. Cela inclut les versions 8.11.x, 8.12.x, 8.13.x et 8.14.x. Même si l'entreprise a publié des correctifs individuels pour chacune de ces versions, elle recommande fortement aux utilisateurs de mettre à jour la version 8.16 publiée récemment. Les utilisateurs des déploiements de VMware Cloud Foundation 4.x et 5.x affectés doivent utiliser VMware Aria Suite Lifecycle Manager pour mettre à jour VMware Aria Automation vers la version corrigée.

« Pour appliquer le correctif, le système doit fonctionner avec la dernière version de la version majeure », a expliqué le fournisseur dans un document FAQ dédié à la vulnérabilité. « Par exemple, si le système utilise Aria Automation 8.12.1, il faut d'abord passer à la version 8.12.2 avant d'appliquer le correctif. Après application du correctif, la seule possibilité de mise à niveau est de passer à la version 8.16 ou à une version plus récente », indique encore la FAQ.

Aucune action nécessaire pour Aria Automation Cloud

Aria Automation Cloud n'est pas concerné, car des mesures d'atténuation ont déjà été appliquées au niveau du serveur par VMware qui gère le service. vCenter, ESXi et Aria Orchestrator ne sont pas non plus touchés, mais le fournisseur indique qu'à partir de la version 8.16, l'accès à Automation Orchestrator est désormais régi par des rôles de service Orchestrator distincts. L'entreprise prévient également que si les utilisateurs choisissent de passer à des versions intermédiaires, par exemple de 8.12.x à 8.13.x au lieu de passer à la version 8.16, la vulnérabilité sera réintroduite et une nouvelle série de correctifs sera nécessaire. « D'autres mesures d'atténuation et de compensation peuvent s'appliquer, en fonction du niveau de sécurité, des stratégies de défense en profondeur et de la configuration des pare-feux périmétriques et applicatifs de l’entreprise », a encore déclaré VMware. « Chaque entreprise doit évaluer par elle-même si elle doit s'appuyer sur ces protections et comment configurer efficacement ces mesures pour son environnement ».