BSI повідомляє, що комбіноване використання критичних уразливостей може дозволити захоплення окремих продуктів VMWare. Проблема має жовтий статус попередження. Загальна система оцінки вразливостей (CVSS) оцінює вразливості на 7,8 (висока) і 9,8 як критичні.
18.05.2022 травня 2022 року компанія VMWare опублікувала пораду з безпеки VMSA-0014-2022 з інформацією про дві критичні вразливості в різних продуктах VMWare. Комбінований експлойт уразливостей CVE-22972-2022 і CVE-22973-XNUMX може дозволити зловмисникам отримати адміністративний доступ із правами root без автентифікації.
Ці дві вразливості вражають наступні продукти
- VMware Workspace ONE Access (доступ) (версія <= 21.08.0.1),
- VMware Identity Manager (vIDM) (версія <= 3.3.6),
- VMware vRealize Automation (vRA) (версія <= 7.6),
- VMware Cloud Foundation (версія <= 4.3.x),
- vRealize Suite Lifecycle Manager (версія <= 8.x).
CVE-2022-22972 — це вразливість обходу автентифікації, яка дозволяє зловмиснику з доступом до мережі через інтерфейс користувача прямої консолі (DCUI) продуктів VMWare отримати адміністративний доступ без необхідності автентифікації (див. [MIT2022a]). CVE-2022-22973 дозволяє локальне підвищення привілеїв, що дозволяє локальним зловмисникам отримати права root.
Уразливості VMware «Високі» та «Критичні»
Відповідно до загальної системи оцінки вразливостей (CVSS), ступінь серйозності вразливості класифікується як «критична» (CVE-9.8-2022) на рівні 22972 або «висока» (CVE-7.8-2022) на рівні 22973 (CVSSv3). Американське агентство з кібербезпеки та безпеки інфраструктури (CISA) повідомило 18.05.2022 травня 2022 року, що зловмисникам (включно з групами Advanced Persistent Threat (APT)) вдалося використати вразливості CVE-22954-2022 і CVE-22960, виправлені в квітні. 2022 до експлуатувати. На основі цього досвіду CISA припускає, що CVE-22972-2022 і CVE-22973-XNUMX також можуть бути використані в найближчому майбутньому. BSI наразі не має інформації щодо активного використання опублікованих уразливостей.
Запобіжні заходи та рекомендації BSI
Загалом, DCUI не має бути доступним з Інтернету. Тому ця опція за замовчуванням відключена виробником. Якщо це не так, бажано негайно відключити відповідний пристрій від мережі та перевірити мережу на наявність аномалій. CISA надає відповідні підписи Snort, правила YARA та індикатори компромісу (IoC).
BSI наполегливо рекомендує імпортувати поточну версію продуктів VMWare. Виправлення безпеки можна отримати в офіційному Центрі завантаження виправлень VMware (див. [VMW2022a]). Якщо неможливо негайно перейти до захищеної версії програмного забезпечення, виробник рекомендує застосувати тимчасовий обхідний шлях якнайшвидше (див. [VMW2022a]), доки не буде встановлено патчі безпеки. Виробник також надав веб-сайт із поширеними запитаннями про вразливості.
Більше на BSI.Bund.de
Про Федеральне відомство з інформаційної безпеки (BSI) Федеральне відомство з інформаційної безпеки (BSI) є федеральним органом з кібербезпеки та розробником безпечної цифровізації в Німеччині. Заява місії: BSI, як федеральний орган кібербезпеки, розробляє інформаційну безпеку в оцифровці шляхом запобігання, виявлення та реагування для держави, бізнесу та суспільства.