Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA): Οι εταιρείες θα πρέπει αμέσως να επιδιορθώσουν ή να αφαιρέσουν προϊόντα VMware που επηρεάζονται από κρίσιμα ελαττώματα που αποκαλύφθηκαν πρόσφατα.
Δείτε επίσης: CISA σε οργανισμούς: Διορθώστε το WatchGuard bug
Το δραστικό μέτρο της αφαίρεσης των προϊόντων, εάν δεν μπορούν να επιδιορθωθούν, βασίζεται στην προηγούμενη εκμετάλλευση κρίσιμων ελαττωμάτων του VMware εντός 48 ωρών από την αποκάλυψη, σύμφωνα με την CISA.
Η VMware αποκάλυψε την Τετάρτη 18 Μαΐου πολλαπλά ελαττώματα ασφαλείας στα VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation και vRealize Suite Lifecycle Manager.
Τα τρωτά σημεία παρακολουθούνται ως CVE-2022-22972 και CVE-2022-22973, τα οποία είναι αντίστοιχα μια παράκαμψη ελέγχου ταυτότητας με βαθμολογία σοβαρότητας 9,8 στα 10 και μια ευπάθεια κλιμάκωσης τοπικών προνομίων με βαθμολογία 7,8.
Δείτε επίσης: CISA: Εισβολείς εκμεταλλεύονται σφάλμα στο Windows Print Spooler
Ένας εισβολέας με πρόσβαση δικτύου στο management user interface θα μπορούσε να έχει πρόσβαση σε αυτό χωρίς να απαιτείται κωδικός πρόσβασης, προειδοποιεί η VMware σε ένα advisory.
Οι ενημερώσεις κώδικα είναι διαθέσιμες και η VMware προτρέπει τους πελάτες να τις εφαρμόσουν ή να μετριάσουν αμέσως τα προβλήματα, προειδοποιώντας σε ξεχωριστή ανάρτηση στο blog ότι “οι συνέπειες αυτής της ευπάθειας είναι σοβαρές”.
Η CISA είπε στις ομοσπονδιακές μη στρατιωτικές υπηρεσίες των ΗΠΑ να τα επιδιορθώσουν αμέσως ή να αφαιρέσουν τα επηρεαζόμενα προϊόντα με βάση την σχεδόν άμεση και ευρεία εκμετάλλευση δύο ελαττωμάτων του VMware – CVE-2022-22954 και CVE-2022-22960 – στα ίδια προϊόντα τον Απρίλιο.
Η VMware κυκλοφόρησε ενημερώσεις κώδικα για αυτές τον Απρίλιο, αλλά οι επιτιθέμενοι ανέτρεψαν γρήγορα τις ενημερώσεις κώδικα και τις δέσμευσαν μεταξύ τους για exploitation.
Η εταιρεία ασφαλείας Rapid7 παρατήρησε ενεργό exploitation στις 12 Απριλίου, έξι ημέρες μετά την έκδοση ενημερώσεων κώδικα της VMware. Αμέσως μετά, χρησιμοποιήθηκαν πολλά δημόσια proof-of-concept exploits για την εγκατάσταση coin miners σε ευάλωτα συστήματα. Οι εισβολείς δέσμευσαν το CVE-2022-22954 (πρόβλημα template injection από την πλευρά του server που επηρεάζει το VMware Workspace ONE Access and Identity Manager) με το CVE-2022-22960 (ένα σφάλμα local privilege escalation) για να κάνουν escalate σε δικαιώματα root.
Η CISA εξέδωσε μια οδηγία έκτακτης ανάγκης που απαιτεί από τις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν αμέσως τα ελαττώματα του VMware του Απριλίου, όπως είχε κάνει με τα ελαττώματα του Apache Log4j “Log4Shell”.
Η αρχή ασφαλείας έχει εκδώσει την ίδια οδηγία προς τις ομοσπονδιακές υπηρεσίες για τα τελευταία ελαττώματα του VMware, επισημαίνοντας ότι τα ελαττώματα “ενέχουν πολύ σοβαρό κίνδυνο” για τις υπηρεσίες federal civilian.
Δείτε επίσης: CISA: 7 Νέα σφάλματα ασφαλείας που είναι ευάλωτα σε επιθέσεις
Οι αρχές κυβερνοασφάλειας από άλλα έθνη δεν έχουν εκδώσει ειδοποιήσεις σχετικά με τα πιο πρόσφατα ελαττώματα του VMware. Η CISA, ωστόσο, συνιστά σε όλους τους οργανισμούς να τα επιδιορθώσουν γρήγορα εάν τα ευάλωτα συστήματα είναι προσβάσιμα από το Διαδίκτυο. Η VMware έχει δημοσιεύσει βήματα μετριασμού για ορισμένα από τα επηρεαζόμενα προϊόντα.
Πηγή πληροφοριών: zdnet.com
