Le BSI rapporte qu'une exploitation combinée de vulnérabilités critiques peut permettre la prise de contrôle de produits VMWare sélectionnés. Le problème a un statut d'avertissement de Jaune. Le système CVSS (Common Vulnerability Scoring System) évalue les vulnérabilités à 7,8 (élevé) et 9,8 comme critiques.
Le 18.05.2022 mai 2022, la société VMWare a publié l'avis de sécurité VMSA-0014-2022 contenant des informations sur deux vulnérabilités critiques dans divers produits VMWare. Un exploit combiné des vulnérabilités CVE-22972-2022 et CVE-22973-XNUMX pourrait permettre aux attaquants d'obtenir un accès administratif avec des privilèges root sans authentification.
Les produits suivants sont concernés par ces deux vulnérabilités
- VMware Workspace ONE Access (Accès) (Version <= 21.08.0.1),
- VMware Identity Manager (vIDM) (version <= 3.3.6),
- VMware vRealize Automation (vRA) (version <= 7.6),
- VMware Cloud Foundation (version <= 4.3.x),
- vRealize Suite Lifecycle Manager (version <= 8.x).
CVE-2022-22972 est une vulnérabilité de contournement d'authentification qui permet à un attaquant disposant d'un accès réseau via l'interface utilisateur de la console directe (DCUI) des produits VMWare d'obtenir un accès administratif sans avoir à s'authentifier (voir [MIT2022a]). CVE-2022-22973 permet l'élévation des privilèges locaux, ce qui permet aux attaquants locaux d'obtenir les privilèges root.
Vulnérabilités VMware "élevées" et "critiques"
Selon le Common Vulnerability Scoring System (CVSS), la gravité des vulnérabilités est classée comme « critique » (CVE-9.8-2022) à 22972 ou « élevée » (CVE-7.8-2022) à 22973 (CVSSv3). L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a signalé le 18.05.2022 mai 2022 que des attaquants (y compris des groupes de menaces persistantes avancées (APT)) avaient réussi à exploiter les vulnérabilités CVE-22954-2022 et CVE-22960 corrigées en avril. exploiter. Sur la base de cette expérience, CISA suppose que CVE-2022-22972 et CVE-2022-22973 pourraient également être exploitées dans un avenir proche. Le BSI ne dispose actuellement d'aucune information concernant l'exploitation active des vulnérabilités publiées.
Précautions et recommandations du BSI
Fondamentalement, le DCUI ne devrait pas être accessible depuis Internet. Par conséquent, cette option est désactivée par défaut par le fabricant. Si ce n'est pas le cas, il est conseillé de déconnecter immédiatement l'appareil correspondant du réseau et de vérifier si le réseau présente des anomalies. CISA fournit les signatures Snort correspondantes, les règles YARA et les indicateurs de compromission (IoC).
Le BSI recommande fortement d'importer la version actuelle des produits VMWare. Les correctifs de sécurité peuvent être obtenus auprès du centre de téléchargement de correctifs VMware officiel (voir [VMW2022a]). S'il n'est pas possible de passer immédiatement à une version sécurisée du logiciel, le fabricant recommande de mettre en place une solution de contournement temporaire dès que possible (voir [VMW2022a]) jusqu'à ce que les correctifs de sécurité puissent être installés. Le fabricant a également fourni un site Web FAQ sur les vulnérabilités.
Plus sur BSI.Bund.de
À propos de l'Office fédéral de la sécurité de l'information (BSI) L'Office fédéral de la sécurité de l'information (BSI) est l'autorité fédérale de cybersécurité et le concepteur de la numérisation sécurisée en Allemagne. L'énoncé de mission : Le BSI, en tant qu'autorité fédérale de cybersécurité, conçoit la sécurité de l'information dans la numérisation par la prévention, la détection et la réponse pour l'État, les entreprises et la société.