Ένα Proof-of-concept exploit για μία κρίσιμη ευπάθεια παράκαμψης ελέγχου ταυτότητας που ανακαλύφθηκε σε πολλά προϊόντα VMware και επιτρέπει στους εισβολείς να αποκτήσουν δικαιώματα διαχειριστή, έχει πλέον κυκλοφορήσει στο διαδίκτυο.
Δείτε επίσης: Linux ransomware «Cheers»: Στοχεύει διακομιστές VMware ESXi
Η VMware κυκλοφόρησε ενημέρωση για να αντιμετωπίσει το ελάττωμα CVE-2022-22972, που επηρεάζει το Workspace ONE Access, το VMware Identity Manager (vIDM) ή το vRealize Automation.
Η εταιρεία μοιράστηκε επίσης προσωρινές λύσεις για τους διαχειριστές που δεν μπορούν να επιδιορθώσουν τις ευάλωτες συσκευές αμέσως, απαιτώντας να απενεργοποιήσουν όλους τους χρήστες εκτός από έναν προβλεπόμενο διαχειριστή.
Οι ερευνητές ασφαλείας στη Horizon3 κυκλοφόρησαν ένα proof-of-concept (PoC) exploit και τεχνική ανάλυση για αυτήν την ευπάθεια, μετά από μια ανακοίνωση που έγινε την Τρίτη ότι ένα CVE-2022-22972 PoC θα είναι διαθέσιμο αργότερα μέσα στην εβδομάδα.
“Αυτό το σενάριο μπορεί να χρησιμοποιηθεί με παράκαμψη ελέγχου ταυτότητας στο vRealize Automation 7.6 χρησιμοποιώντας το CVE-2022-22972“, είπαν οι ερευνητές.
«Το Workspace ONE και το vIDM έχουν διαφορετικά τελικά σημεία ελέγχου ταυτότητας, αλλά η ουσία της ευπάθειας παραμένει η ίδια.»
Δείτε ακόμα: Η Broadcom ανακοινώνει ότι θα εξαγοράσει την VMware
Ενώ φαίνεται ότι ένας περιορισμένος αριθμός συσκευών VMware είναι εκτεθειμένες σε επιθέσεις που θα στόχευαν αυτό το σφάλμα, υπάρχουν αρκετοί υγειονομικοί, εκπαιδευτικοί κλάδοι και κρατικοί κυβερνητικοί οργανισμοί που διατρέχουν αυξημένο κίνδυνο να στοχοποιηθούν.
Το CVE-2022-22972 είναι μια σχετικά απλή ευπάθεια χειρισμού κεφαλίδας «Host». «Οι εισβολείς δεν θα δυσκολευτούν να αναπτύξουν μια εκμετάλλευση για αυτήν την ευπάθεια», πρόσθεσε η Horizon3.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) τόνισε περαιτέρω το επίπεδο σοβαρότητας αυτού του ελαττώματος ασφαλείας εκδίδοντας μια νέα Οδηγία Έκτακτης Ανάγκης που διέταξε τις υπηρεσίες του Federal Civilian Executive Branch (FCEB) να ενημερώσουν επειγόντως ή να αφαιρέσουν προϊόντα VMware από τα δίκτυά τους.
Τον Απρίλιο, η VMware διόρθωσε δύο ακόμη κρίσιμα τρωτά σημεία, ένα σφάλμα απομακρυσμένης εκτέλεσης κώδικα (CVE-2022-22954) και μια κλιμάκωση προνομίων «root» (CVE-2022-229600) στο VMware Workspace ONE Access και στο VMware Identity Manager.
Δείτε επίσης: CISA προς ομοσπονδιακές υπηρεσίες: Διορθώστε τα ευάλωτα προϊόντα VMware ή αφαιρέστε τα από το δίκτυό σας
Παρόλο που το CVE-2022-22972 VMware auth bypass δεν χρησιμοποιείται ακόμη, οι επιτιθέμενοι άρχισαν να κάνουν κατάχρηση των προηγούμενων τρωτών σημείων εντός 48 ωρών για να παρακάμψουν ευάλωτα συστήματα και να αναπτύξουν coin miners. «Η CISA αναμένει από τους παράγοντες απειλών να αναπτύξουν γρήγορα μια ικανότητα εκμετάλλευσης αυτών των τρωτών σημείων που κυκλοφόρησαν πρόσφατα στα ίδια επηρεαζόμενα προϊόντα VMware», ανέφερε η υπηρεσία κυβερνοασφάλειας.
