Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Allarme VMware Aria: gravi vulnerabilità a rischio di esposizione di credenziali e privilegi amministrativi!

Luca Galuppi : 31 Gennaio 2025 08:24

Broadcom ha recentemente rilasciato aggiornamenti di sicurezza per correggere cinque vulnerabilità in VMware Aria Operations e Aria Operations for Logs, evidenziando il rischio di sfruttamento da parte di attaccanti per ottenere accessi elevati o esfiltrare informazioni sensibili.

Panoramica sulle vulnerabilità

Le falle, che impattano le versioni 8.x del software, sono le seguenti:

  • CVE-2025-22218 (CVSS 8.5): Un attore malevolo con permessi View Only Admin potrebbe leggere le credenziali di un prodotto VMware integrato con VMware Aria Operations for Logs.
  • CVE-2025-22219 (CVSS 6.8): Un utente con privilegi non amministrativi potrebbe iniettare uno script malevolo, eseguendo operazioni arbitrarie come amministratore tramite un attacco XSS (Cross-Site Scripting) memorizzato.
  • CVE-2025-22220 (CVSS 4.3): Un utente con privilegi limitati e accesso di rete all’API di Aria Operations for Logs potrebbe eseguire operazioni con privilegi amministrativi.
  • CVE-2025-22221 (CVSS 5.2): Un amministratore di VMware Aria Operations for Logs potrebbe iniettare uno script malevolo, che verrebbe eseguito nel browser della vittima durante un’azione di eliminazione nella configurazione dell’agente.
  • CVE-2025-22222 (CVSS 7.7): Un utente non amministrativo potrebbe sfruttare questa vulnerabilità per recuperare credenziali di un plugin in uscita, se in possesso di un ID valido del servizio.

Queste vulnerabilità colpiscono VMware Aria Operations e VMware Aria Operations for Logs, entrambi componenti critici della piattaforma VMware Cloud Foundation. Di conseguenza, le versioni 4.x e 5.x della piattaforma risultano anch’esse vulnerabili.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765  per richiedere informazioni "

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Le criticità individuate dal team di sicurezza Michelin CERT insieme a Abicom, mettono in evidenza ancora una volta quanto sia cruciale monitorare e proteggere le infrastrutture IT aziendali. La stessa squadra di ricercatori aveva già identificato due altre falle simili (CVE-2024-38832 e CVE-2024-38833) a fine novembre 2024.

Va notato che, sebbene Broadcom non abbia segnalato exploit attivi, l’eventuale abuso di queste falle richiede accesso autorizzato ai sistemi vulnerabili. Ciò significa che, se sfruttate, è probabile che l’attacco avvenga tramite account compromessi.

VMware già nel mirino di attori statali e cybercriminali

Non sarebbe la prima volta che VMware finisce nel mirino di attaccanti avanzati. In passato, gruppi APT (Advanced Persistent Threat) legati a stati-nazione hanno sfruttato vulnerabilità critiche nei prodotti VMware per muoversi lateralmente all’interno delle reti aziendali compromesse.

Ad esempio, attacchi legati al gruppo UNC3886, noto per colpire infrastrutture di virtualizzazione, hanno dimostrato come le falle in VMware possano essere sfruttate per ottenere persistenza e accesso privilegiato. Anche gruppi come APT29 (Cozy Bear) e APT41 hanno mostrato un particolare interesse per le piattaforme di virtualizzazione. La possibilità di ottenere credenziali amministrative tramite queste vulnerabilità rende gli ambienti VMware un bersaglio privilegiato.

Patch disponibili, ma il pericolo rimane

Broadcom ha rilasciato le correzioni con VMware Aria Operations e Aria Operations for Logs versione 8.18.3. Per gli utenti di VMware Cloud Foundation, è possibile seguire l’articolo KB92148 per applicare i fix necessari.

L’advisory arriva pochi giorni dopo un altro allarme lanciato da Broadcom riguardo una falla ad alta gravità in VMware Avi Load Balancer (CVE-2025-22217, CVSS 8.6), che potrebbe consentire a un attaccante di ottenere accesso al database.

Conclusione

La gestione delle vulnerabilità in ambienti virtualizzati è una sfida continua, e il caso di VMware Aria Operations ne è un esempio concreto. Sebbene Broadcom abbia rilasciato tempestivamente le patch, il rischio non può essere sottovalutato, soprattutto considerando l’interesse costante di gruppi APT e cybercriminali nei confronti delle piattaforme VMware.

La presenza di vulnerabilità che consentono l’accesso a credenziali sensibili e l’esecuzione di codice malevolo all’interno delle infrastrutture IT evidenzia ancora una volta l’importanza di un approccio proattivo alla sicurezza. Applicare gli aggiornamenti di sicurezza è fondamentale, ma da solo non basta: è necessario rafforzare i controlli sugli account con privilegi elevati, monitorare le attività sospette e implementare strategie di difesa in profondità per mitigare i rischi legati all’esposizione di dati sensibili.

Le organizzazioni che utilizzano VMware Aria Operations e Aria Operations for Logs dovrebbero valutare con attenzione la propria postura di sicurezza, adottando misure preventive come l’uso di autenticazione multifattore (MFA), il monitoraggio continuo dei log e la segmentazione della rete per limitare eventuali movimenti laterali degli attaccanti. Solo con un’azione tempestiva e una strategia di sicurezza ben definita è possibile ridurre il rischio di compromissioni e proteggere le infrastrutture critiche dagli attacchi sempre più sofisticati.

Luca Galuppi
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.
Visita il sito web dell'autore
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009