बीएसआई रिपोर्ट करता है कि महत्वपूर्ण कमजोरियों का एक संयुक्त शोषण चयनित वीएमवेयर उत्पादों के अधिग्रहण की अनुमति दे सकता है। समस्या की चेतावनी स्थिति पीले रंग की है। कॉमन वल्नरेबिलिटी स्कोरिंग सिस्टम (सीवीएसएस) कमजोरियों को 7,8 (उच्च) और 9,8 को क्रिटिकल मानता है।
18.05.2022 मई, 2022 को कंपनी VMWare ने विभिन्न VMWare उत्पादों में दो महत्वपूर्ण कमजोरियों की जानकारी के साथ सुरक्षा सलाहकार VMSA-0014-2022 प्रकाशित किया। CVE-22972-2022 और CVE-22973-XNUMX कमजोरियों का एक संयुक्त शोषण हमलावरों को प्रमाणीकरण के बिना रूट विशेषाधिकारों के साथ प्रशासनिक पहुंच प्राप्त करने की अनुमति दे सकता है।
निम्नलिखित उत्पाद इन दो कमजोरियों से प्रभावित हैं
- वीएमवेयर वर्कस्पेस वन एक्सेस (एक्सेस) (संस्करण <= 21.08.0.1),
- वीएमवेयर पहचान प्रबंधक (वीआईडीएम) (संस्करण <= 3.3.6),
- VMware vRealize स्वचालन (vRA) (संस्करण <= 7.6),
- वीएमवेयर क्लाउड फाउंडेशन (संस्करण <= 4.3.x),
- vRealize सुइट जीवनचक्र प्रबंधक (संस्करण <= 8.x)।
CVE-2022-22972 एक प्रमाणीकरण बाईपास भेद्यता है जो एक हमलावर को VMWare उत्पादों के डायरेक्ट कंसोल यूजर इंटरफेस (DCUI) के माध्यम से नेटवर्क एक्सेस के साथ प्रमाणीकरण के बिना प्रशासनिक पहुंच प्राप्त करने की अनुमति देता है (देखें [MIT2022a])। CVE-2022-22973 स्थानीय विशेषाधिकार वृद्धि को सक्षम करता है, जो स्थानीय हमलावरों को रूट विशेषाधिकार प्राप्त करने की अनुमति देता है।
VMware भेद्यता "उच्च" और "गंभीर"
सामान्य भेद्यता स्कोरिंग सिस्टम (CVSS) के अनुसार, भेद्यता की गंभीरता को 9.8 पर "महत्वपूर्ण" (CVE-2022-22972) या 7.8 (CVSSv2022) पर "उच्च" (CVE-22973-3) के रूप में वर्गीकृत किया गया है। अमेरिकन साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) ने 18.05.2022 मई, 2022 को बताया कि हमलावर (एडवांस परसिस्टेंट थ्रेट (एपीटी) समूहों सहित) अप्रैल में पैच किए गए सीवीई-22954-2022 और सीवीई-22960-भेद्यताओं का फायदा उठाने में सफल रहे। शोषण करना। इस अनुभव के आधार पर, CISA मानता है कि निकट भविष्य में CVE-2022-22972 और CVE-2022-22973 का भी उपयोग किया जा सकता है। BSI के पास वर्तमान में प्रकाशित कमजोरियों के सक्रिय शोषण के संबंध में कोई जानकारी नहीं है।
बीएसआई की सावधानियां और सिफारिशें
मूल रूप से, DCUI को इंटरनेट से एक्सेस नहीं किया जाना चाहिए। इसलिए, यह विकल्प निर्माता द्वारा डिफ़ॉल्ट रूप से अक्षम है। यदि यह मामला नहीं है, तो सलाह दी जाती है कि तुरंत संबंधित डिवाइस को नेटवर्क से डिस्कनेक्ट करें और विसंगतियों के लिए नेटवर्क की जांच करें। CISA संबंधित स्नॉर्ट सिग्नेचर, YARA नियम और समझौता के संकेतक (IoC) प्रदान करता है।
BSI VMWare उत्पादों के वर्तमान संस्करण को आयात करने की जोरदार अनुशंसा करता है। सुरक्षा पैच आधिकारिक VMware पैच डाउनलोड केंद्र से प्राप्त किए जा सकते हैं (देखें [VMW2022a])। यदि सॉफ़्टवेयर के सुरक्षित संस्करण पर तुरंत स्विच करना संभव नहीं है, तो निर्माता जल्द से जल्द एक अस्थायी वर्कअराउंड लागू करने की अनुशंसा करता है ([VMW2022a] देखें) जब तक कि सुरक्षा पैच स्थापित नहीं किए जा सकते। निर्माता ने कमजोरियों के बारे में एक एफएक्यू वेबसाइट भी प्रदान की है.
BSI.Bund.de पर अधिक
सूचना सुरक्षा के लिए संघीय कार्यालय (BSI) के बारे में सूचना सुरक्षा के लिए संघीय कार्यालय (BSI) संघीय साइबर सुरक्षा प्राधिकरण और जर्मनी में सुरक्षित डिजिटलीकरण का डिज़ाइनर है। मिशन वक्तव्य: बीएसआई, संघीय साइबर सुरक्षा प्राधिकरण के रूप में, राज्य, व्यापार और समाज के लिए रोकथाम, पहचान और प्रतिक्रिया के माध्यम से डिजिटलीकरण में सूचना सुरक्षा को डिजाइन करता है।