O BSI relata que uma exploração combinada de vulnerabilidades críticas pode permitir a aquisição de produtos VMWare selecionados. O problema tem um status de aviso Amarelo. O Common Vulnerability Scoring System (CVSS) classifica as vulnerabilidades em 7,8 (alta) e 9,8 como críticas.
Em 18.05.2022 de maio de 2022, a empresa VMWare publicou o comunicado de segurança VMSA-0014-2022 com informações sobre duas vulnerabilidades críticas em vários produtos VMWare. Uma exploração combinada das vulnerabilidades CVE-22972-2022 e CVE-22973-XNUMX pode permitir que invasores obtenham acesso administrativo com privilégios de root sem autenticação.
Os seguintes produtos são afetados por essas duas vulnerabilidades
- VMware Workspace ONE Access (Acesso) (Versão <= 21.08.0.1),
- VMware Identity Manager (vIDM) (versão <= 3.3.6),
- VMware vRealize Automation (vRA) (versão <= 7.6),
- VMware Cloud Foundation (versão <= 4.3.x),
- vRealize Suite Lifecycle Manager (versão <= 8.x).
CVE-2022-22972 é uma vulnerabilidade de bypass de autenticação que permite que um invasor com acesso à rede por meio da Direct Console User Interface (DCUI) dos produtos VMWare obtenha acesso administrativo sem precisar autenticar (consulte [MIT2022a]). O CVE-2022-22973 habilita a escalação de privilégios locais, o que permite que invasores locais obtenham privilégios de root.
Vulnerabilidades do VMware “altas” e “críticas”
De acordo com o Common Vulnerability Scoring System (CVSS), a gravidade das vulnerabilidades é classificada como “crítica” (CVE-9.8-2022) em 22972 ou “alta” (CVE-7.8-2022) em 22973 (CVSSv3). A Agência Americana de Cibersegurança e Segurança de Infraestrutura (CISA) informou em 18.05.2022 de maio de 2022 que invasores (incluindo grupos de ameaças persistentes avançadas (APT)) conseguiram explorar as vulnerabilidades CVE-22954-2022 e CVE-22960 corrigidas em abril. 2022 para explorar. Com base nessa experiência, a CISA assume que CVE-22972-2022 e CVE-22973-XNUMX também podem ser explorados em um futuro próximo. Atualmente, o BSI não possui informações sobre a exploração ativa das vulnerabilidades publicadas.
Precauções e recomendações do BSI
Basicamente, o DCUI não deve ser acessível pela Internet. Portanto, esta opção é desativada por padrão pelo fabricante. Se não for esse o caso, é aconselhável desconectar imediatamente o dispositivo correspondente da rede e verificar se há anomalias na rede. A CISA fornece assinaturas Snort correspondentes, regras YARA e Indicadores de Compromisso (IoC).
O BSI recomenda enfaticamente a importação da versão atual dos produtos VMWare. Os patches de segurança podem ser obtidos no VMware Patch Download Center oficial (consulte [VMW2022a]). Se não for possível mudar para uma versão segura do software imediatamente, o fabricante recomenda implementar uma solução temporária o mais rápido possível (consulte [VMW2022a]) até que os patches de segurança possam ser instalados. O fabricante também forneceu um site de perguntas frequentes sobre as vulnerabilidades.
Mais em BSI.Bund.de
Sobre o Escritório Federal de Segurança da Informação (BSI) O Escritório Federal de Segurança da Informação (BSI) é a autoridade federal de segurança cibernética e o criador da digitalização segura na Alemanha. A declaração de missão: O BSI, como autoridade federal de segurança cibernética, projeta segurança da informação na digitalização por meio de prevenção, detecção e resposta para o estado, negócios e sociedade.