Il BSI riferisce che uno sfruttamento combinato di vulnerabilità critiche può consentire l'acquisizione di determinati prodotti VMWare. Il problema ha uno stato di avviso Giallo. Il Common Vulnerability Scoring System (CVSS) valuta le vulnerabilità a 7,8 (alto) e 9,8 come critiche.
Il 18.05.2022 maggio 2022, la società VMWare ha pubblicato l'avviso di sicurezza VMSA-0014-2022 con informazioni su due vulnerabilità critiche in vari prodotti VMWare. Un exploit combinato delle vulnerabilità CVE-22972-2022 e CVE-22973-XNUMX potrebbe consentire agli aggressori di ottenere l'accesso amministrativo con privilegi di root senza autenticazione.
I seguenti prodotti sono interessati da queste due vulnerabilità
- VMware Workspace ONE Access (Accesso) (versione <= 21.08.0.1),
- VMware Identity Manager (vIDM) (versione <= 3.3.6),
- VMware vRealize Automation (vRA) (versione <= 7.6),
- VMware Cloud Foundation (versione <= 4.3.x),
- vRealize Suite Lifecycle Manager (versione <= 8.x).
CVE-2022-22972 è una vulnerabilità di bypass dell'autenticazione che consente a un utente malintenzionato con accesso alla rete tramite l'interfaccia utente della console diretta (DCUI) dei prodotti VMWare di ottenere l'accesso amministrativo senza dover eseguire l'autenticazione (vedere [MIT2022a]). CVE-2022-22973 abilita l'escalation dei privilegi locali, che consente agli aggressori locali di ottenere i privilegi di root.
Vulnerabilità VMware "Alta" e "Critica"
Secondo il Common Vulnerability Scoring System (CVSS), la gravità delle vulnerabilità è classificata come "critica" (CVE-9.8-2022) a 22972 o "alta" (CVE-7.8-2022) a 22973 (CVSSv3). L'American Cybersecurity & Infrastructure Security Agency (CISA) ha riferito il 18.05.2022 maggio 2022 che gli aggressori (compresi i gruppi Advanced Persistent Threat (APT)) sono riusciti a sfruttare le vulnerabilità CVE-22954-2022 e CVE-22960 corrette ad aprile. impresa. Sulla base di questa esperienza, CISA ipotizza che anche CVE-2022-22972 e CVE-2022-22973 potrebbero essere sfruttate in un prossimo futuro. Il BSI attualmente non dispone di informazioni sullo sfruttamento attivo delle vulnerabilità pubblicate.
Precauzioni e raccomandazioni del BSI
Fondamentalmente, la DCUI non dovrebbe essere accessibile da Internet. Pertanto, questa opzione è disabilitata per impostazione predefinita dal produttore. In caso contrario, si consiglia di disconnettere immediatamente il dispositivo corrispondente dalla rete e verificare la presenza di anomalie nella rete. CISA fornisce firme Snort corrispondenti, regole YARA e indicatori di compromesso (IoC).
BSI consiglia vivamente di importare la versione corrente dei prodotti VMWare. Le patch di sicurezza possono essere ottenute dal VMware Patch Download Center ufficiale (vedere [VMW2022a]). Se non è possibile passare immediatamente a una versione sicura del software, il produttore consiglia di implementare una soluzione temporanea il prima possibile (vedere [VMW2022a]) fino a quando non sarà possibile installare le patch di sicurezza. Il produttore ha anche fornito un sito Web di domande frequenti sulle vulnerabilità.
Maggiori informazioni su BSI.Bund.de
Informazioni sull'Ufficio federale per la sicurezza delle informazioni (BSI) L'Ufficio federale per la sicurezza informatica (BSI) è l'autorità federale per la sicurezza informatica e il progettista della digitalizzazione sicura in Germania. La missione: la BSI, in qualità di autorità federale per la sicurezza informatica, progetta la sicurezza delle informazioni nella digitalizzazione attraverso la prevenzione, il rilevamento e la risposta per lo stato, le imprese e la società.