Agentura Uncle Sam's Cybersecurity and Infrastructure Security Agency (CISA) vydala během jediného dne dvě varování pro uživatele VMware, protože se domnívá, že produkty virtualizačního giganta mohou být zneužity nenechavci k získání kontroly nad systémy.
Agentura hodnotí tuto hrozbu jako dostatečně závažnou na to, aby požadovala od vládních úřadů USA, aby odpojily své produkty VMware, pokud nelze použít záplaty.
Ze dvou varování jedno zdůrazňuje kritickou zranitelnost při obcházení autentizace – CVE-2022-22972 s hodnocením 9,8 z 10 na stupnici CVSS – kterou VMware odhalil ve středu.
Chyba se týká pěti produktů: Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, vRealize Suite Lifecycle Manager a VMware Cloud Foundation. Bylo nám řečeno, že „hráč se zlými úmysly se síťovým přístupem k uživatelskému rozhraní může být schopen získat přístup pro správce bez nutnosti autentizace“.
Zranitelnost v Cloud Foundation je děsivá, protože tento produkt je nástrojem společnosti VMware pro vytváření a správu hybridních multi-cloudových zařízení s virtuálními stroji a kontejnery. To znamená, že neoprávněný uživatel může získat oprávnění na úrovni správce a řídit tyto zdroje přímo na místě a potenciálně také na veřejných cloudech poháněných VMware, kterých je více než 4 000 provozovaných partnery VMware, plus partnerství s AWS, Microsoft, Google, Oracle, IBM Cloud a Alibaba Cloud.
Dopad na ostatní produkty je také významný, protože Identity Manager a Workspace ONE Access control mohou udělovat přístup k aplikacím a službám SaaS prostřednictvím nástrojů pro publikování aplikací VMware, zatímco vRealize má široké možnosti automatizace, které by se mohly dotknout mnoha aspektů hybridního cloudu. operace.
Druhá chyba, CVE-2022-22973, také ve středu odhalila, že umožňuje útočníkům získat root ve VMware Workspace ONE Access a VMware Identity Manager. Vada je hodnocena 7,8 z 10.
Hrozba, kterou tyto dvě bezpečnostní díry představují, je tak závažná, že CISA vydala nouzovou směrnici, která vyžaduje, aby americké civilní vládní agentury do 23. května stáhly z výroby jakékoli internetové implementace zranitelného zboží Virtzilla, protože by měly být považovány za kompromitované. Americké vládní agentury musí také vyčíslit všechna použití dotčených produktů a opravit je ve stejném termínu. Pokud není oprava možná, chce CISA produkty odstranit ze sítí agentur, ať už jsou připojeny k internetu nebo ne.
VMware je velmi široce používán vládními agenturami USA. Pokud budou její produkty vypnuty, pravděpodobně bude následovat značná produktivita a přerušení služeb.
Další varování CISA pro uživatele VMware se týká nedostatků, které IT gigant odhalil na začátku dubna 2022. Agentura pro kybernetickou bezpečnost říká, že útočníci, o kterých se domnívá, že jsou pravděpodobně pokročilými aktéry přetrvávajících hrozeb, využívají CVE-2022-22954 a CVE-2022-22960 samostatně a v kombinace pro získání „plné kontroly nad systémem“. Nedostatky odhalené v dubnu mají dopad na stejné produkty jako ty, které byly zasaženy dnešním zveřejněním.
Tým CISA pro reakci na incidenty již pracuje ve „velké organizaci, kde aktéři hrozeb zneužili CVE-2022-22954,“ uvádí se v poradních orgánech agentury. Indikátory zneužívání a kompromitace byly spatřeny „u mnoha dalších velkých organizací od důvěryhodných třetích stran“.
Časté dotazy společnosti VMware týkající se dnešního zveřejnění se ptají: „Proč existuje pro tyto softwarové komponenty druhý VMSA?“
Odpověď VMware uvádí:
Když bezpečnostní výzkumník najde zranitelnost, často to přitáhne pozornost ostatních bezpečnostních výzkumníků, kteří do výzkumu přinášejí různé pohledy a zkušenosti. VMware si uvědomuje, že další záplaty jsou pro IT pracovníky nepohodlné, ale vyvažujeme tuto obavu závazkem k transparentnosti, informovanosti našich zákazníků a před potenciálními útoky.Jak však naznačuje rada CISA, zákazníci VMware se jim nedostávají útoky. Místo toho jsou na běžícím pásu. ®
Získejte naše technické zdroje
