El BSI informa que una explotación combinada de vulnerabilidades críticas puede permitir la adquisición de productos VMWare seleccionados. El problema tiene un estado de advertencia de color amarillo. El Common Vulnerability Scoring System (CVSS) clasifica las vulnerabilidades en 7,8 (alta) y 9,8 como críticas.
El 18.05.2022 de mayo de 2022, la empresa VMWare publicó el aviso de seguridad VMSA-0014-2022 con información sobre dos vulnerabilidades críticas en varios productos de VMWare. Una explotación combinada de las vulnerabilidades CVE-22972-2022 y CVE-22973-XNUMX podría permitir a los atacantes obtener acceso administrativo con privilegios de root sin autenticación.
Los siguientes productos se ven afectados por estas dos vulnerabilidades
- VMware Workspace ONE Access (Acceso) (Versión <= 21.08.0.1),
- VMware Identity Manager (vIDM) (versión <= 3.3.6),
- VMware vRealize Automation (vRA) (versión <= 7.6),
- VMware Cloud Foundation (versión <= 4.3.x),
- vRealize Suite Lifecycle Manager (versión <= 8.x).
CVE-2022-22972 es una vulnerabilidad de omisión de autenticación que permite a un atacante con acceso a la red a través de la interfaz de usuario de consola directa (DCUI) de los productos VMWare obtener acceso administrativo sin tener que autenticarse (consulte [MIT2022a]). CVE-2022-22973 habilita la escalada de privilegios locales, lo que permite a los atacantes locales obtener privilegios de raíz.
Vulnerabilidades de VMware "altas" y "críticas"
Según el Common Vulnerability Scoring System (CVSS), la gravedad de las vulnerabilidades se clasifica como "crítica" (CVE-9.8-2022) en 22972 o "alta" (CVE-7.8-2022) en 22973 (CVSSv3). La Agencia Estadounidense de Seguridad de Ciberseguridad e Infraestructura (CISA) informó el 18.05.2022 de mayo de 2022 que los atacantes (incluidos los grupos de amenazas persistentes avanzadas (APT)) habían logrado explotar las vulnerabilidades CVE-22954-2022 y CVE-22960 parcheadas en abril. 2022 para explotar. Con base en esta experiencia, CISA asume que CVE-22972-2022 y CVE-22973-XNUMX también podrían explotarse en un futuro cercano. El BSI actualmente no tiene información sobre la explotación activa de las vulnerabilidades publicadas.
Precauciones y recomendaciones de la BSI
Básicamente, la DCUI no debe ser accesible desde Internet. Por lo tanto, esta opción está deshabilitada por defecto por el fabricante. Si este no es el caso, es recomendable desconectar inmediatamente el dispositivo correspondiente de la red y revisar la red en busca de anomalías. CISA proporciona las firmas Snort correspondientes, las reglas YARA y los indicadores de compromiso (IoC).
BSI recomienda encarecidamente importar la versión actual de los productos VMWare. Los parches de seguridad se pueden obtener en el Centro de descarga de parches oficial de VMware (consulte [VMW2022a]). Si no es posible cambiar a una versión segura del software inmediatamente, el fabricante recomienda implementar una solución temporal lo antes posible (consulte [VMW2022a]) hasta que se puedan instalar los parches de seguridad. El fabricante también ha proporcionado un sitio web de preguntas frecuentes sobre las vulnerabilidades..
Más en BSI.Bund.de
Acerca de la Oficina Federal para la Seguridad de la Información (BSI) La Oficina Federal para la Seguridad de la Información (BSI) es la autoridad federal de seguridad cibernética y el diseñador de la digitalización segura en Alemania. La declaración de misión: El BSI, como autoridad federal de seguridad cibernética, diseña la seguridad de la información en la digitalización a través de la prevención, detección y respuesta para el estado, las empresas y la sociedad.