Агенцията за киберсигурност и сигурност на инфраструктурата на чичо Сам (CISA) издаде две предупреждения за един ден на потребителите на VMware, тъй като смята, че продуктите на гиганта за виртуализация могат да бъдат експлоатирани от престъпници, за да получат контрол над системите.
Агенцията оценява тази заплаха като достатъчно сериозна, за да изиска правителствените агенции на САЩ да изключат своите продукти на VMware, ако корекциите не могат да бъдат приложени.
От двете предупреждения едно подчертава критична уязвимост при заобикаляне на удостоверяването – CVE-2022-22972, оценена с 9,8 от 10 по скалата на CVSS – която VMware разкри в сряда.
Пропускът засяга пет продукта: Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, vRealize Suite Lifecycle Manager и VMware Cloud Foundation. Казват ни, че „злонамерен актьор с мрежов достъп до потребителския интерфейс може да получи административен достъп без необходимост от удостоверяване“.
Уязвимостта в Cloud Foundation е ужасяваща, тъй като този продукт е инструмент на VMware за изграждане и управление на хибридни мулти-облачни платформи, работещи с виртуални машини и контейнери. Това означава, че неупълномощен потребител може да получи привилегии на ниво администратор и да управлява тези ресурси на място, а потенциално и в поддържани от VMware публични облаци, от които има над 4000, управлявани от партньори на VMware, плюс партньорства с AWS, Microsoft, Google, Oracle, IBM Cloud и Alibaba Cloud.
Въздействието върху другите продукти също е значително, тъй като Identity Manager и Workspace ONE Access control могат да предоставят достъп до приложения и SaaS услуги чрез инструментите за публикуване на приложения на VMware, докато vRealize има широки възможности за автоматизация, които могат да засегнат много аспекти на хибридния облак операции.
Втори пропуск, CVE-2022-22973, също разкрит в сряда, позволява на атакуващите да станат root във VMware Workspace ONE Access и VMware Identity Manager. Недостатъкът е оценен със 7,8 от 10.
Заплахата, породена от двете дупки в сигурността, е толкова значителна, че CISA издаде спешна директива, изискваща от гражданските правителствени агенции на САЩ да изтеглят от производство всички открити в интернет реализации на уязвимите продукти на Virtzilla до 23 май, тъй като те трябва да се считат за компрометирани. Правителствените агенции на САЩ също трябва да изброят всички употреби на засегнатите продукти и да ги коригират до същия краен срок. Ако корекцията не е възможна, CISA иска продуктите да бъдат премахнати от мрежите на агенции, независимо дали са свързани с интернет или не.
VMware се използва много широко от правителствените агенции на САЩ. Ако продуктите му бъдат изключени, вероятно ще последва значителна производителност и прекъсване на обслужването.
Другото предупреждение на CISA към потребителите на VMware се отнася до пропуските, които ИТ гигантът разкри в началото на април 2022 г. Агенцията за киберсигурност казва, че нападателите, които смята, че вероятно са напреднали постоянни заплахи, действащи лица експлоатират CVE-2022-22954 и CVE-2022-22960 отделно и в комбинация за получаване на „пълен контрол върху системата“. Недостатъците, разкрити през април, засягат същите продукти като тези, засегнати от днешното разкриване.
Екип за реагиране на инциденти на CISA вече работи в „голяма организация, където участниците в заплахата са използвали CVE-2022-22954“, се посочва в съобщението на агенцията. Индикатори за експлоатация и компрометиране са забелязани „в множество други големи организации от доверени трети страни“.
Често задаваните въпроси на VMware относно днешното разкриване питат: „Защо има втори VMSA за тези софтуерни компоненти?“
Отговорът на VMware гласи:
Когато изследовател по сигурността открие уязвимост, тя често привлича вниманието на други изследователи по сигурността, които внасят различни гледни точки и опит в изследването. VMware признава, че допълнителните корекции са неудобни за ИТ персонала, но балансираме това безпокойство с ангажимента за прозрачност, като държим клиентите си информирани и изпреварваме потенциални атаки.И все пак, както съветът на CISA предполага, клиентите на VMware не изпреварват тези атаки. Вместо това те са на бягаща пътека за закърпване. ®
Вземете нашите технически ресурси
