Federální agentury musí v nadcházejících dnech informovat Agenturu pro kybernetickou bezpečnost a bezpečnost infrastruktury o stavu zranitelnosti produktů VMWare, které agentura označila ve středu v nouzovém nařízení.
"CISA rozhodla, že tyto zranitelnosti představují nepřijatelné riziko pro agentury federální civilní výkonné složky a vyžadují nouzovou akci," uvedla agentura a stanovila termín pro požadované akce v pondělí 23. května v poledne. „Toto rozhodnutí je založeno na potvrzeném využívání CVE-2022-22954 a CVE-2022-22960 aktéry ohrožení ve volné přírodě, pravděpodobnosti budoucího využívání CVE-2022-22972 a CVE-2022-22973, prevalence postižený software ve federálním podniku a vysoký potenciál pro kompromitaci agenturních informačních systémů.“
VMWare je společnost Dell specializující se na technologie pro cloud computing a virtualizaci sítí. Začátkem tohoto měsíce výzkumníci společnosti Assetnote, která se zabývá nepřetržitým monitorováním zabezpečení, oznámili, že zranitelnost ve VMWare Workspace One [Unified Endpoint Management] mohla ohrozit cloudové účty společností.
„I když nemohu sdělit přesné podrobnosti o tom, kterých společností se to dotklo, existovalo velké množství podniků, které tím byly zranitelné,“ uvedl v tiskové zprávě z 2. května technologický ředitel Assetnote Subham Shah. "V některých případech bylo možné tuto zranitelnost využít k narušení účtů AWS společností."
Směrnice CISA ve středu nařizuje agenturám, aby buď opravily zranitelná místa ve všech instancích produktů VMWare, nebo je odpojily od agenturních systémů. U všech aplikací, které čelí internetu, CISA navíc nařídí agenturám, aby předpokládaly, že byly kompromitovány, zahájily vyhledávání hrozeb a okamžitě informovaly agenturu.
CISA popsala ohromující schopnosti, kterých by protivníci mohli dosáhnout využitím zranitelností, které nebylo možné nutně zmírnit implementací vícefaktorové autentizace, protože se zaměřují na procesy, které probíhají před touto metodou ověřování.
„Podle hlášení důvěryhodných třetích stran mohou aktéři hrozeb řetězit tyto zranitelnosti. V jedné kompromitované organizaci 12. dubna 2022 nebo kolem 12. dubna 2022 využil neověřený aktér se síťovým přístupem k webovému rozhraní CVE-2022-22954 k provedení libovolného příkazu shellu jako uživatel VMware,“ uvedla CISA v upozornění doprovázejícím směrnici. „Herec poté využil CVE-2022-22960 k eskalaci uživatelských práv na root. S rootovským přístupem může hráč vymazat protokoly, eskalovat oprávnění a přesunout se laterálně do jiných systémů.
