Liittovaltion virastojen on raportoitava kyberturvallisuus- ja infrastruktuurivirastolle lähipäivinä VMWare-tuotteiden haavoittuvuuksien tilasta, joista virasto ilmoitti keskiviikkona antamassaan hätädirektiivissä.
"CCISA on todennut, että nämä haavoittuvuudet aiheuttavat hyväksymättömän riskin liittovaltion siviilihallinnon toimeenpanovirastoille ja vaativat kiireellisiä toimia", virasto sanoi ja asetti vaadittujen toimien määräajaksi maanantaina 23. toukokuuta klo 12. "Tämä arvio perustuu CVE-2022-22954:n ja CVE-2022-22960:n vahvistettuun hyväksikäyttöön uhkatekijöiden toimesta luonnossa, CVE-2022-22972:n ja CVE-2022-22973:n tulevan hyödyntämisen todennäköisyyteen sekä liittovaltion yrityksen ohjelmistot ja suuret mahdollisuudet virastojen tietojärjestelmien kompromissiin."
VMWare on Dell-yritys, joka on erikoistunut pilvilaskentaan ja verkon virtualisointiin. Aiemmin tässä kuussa jatkuvan turvallisuuden valvontayrityksen Assetnoten tutkijat raportoivat, että VMWaren Workspace One [Unified Endpoint Management] -haavoittuvuus olisi voinut vaarantaa yritysten pilvitilit.
"Vaikka en voi kertoa tarkkoja tietoja siitä, mihin yrityksiin tämä vaikuttaa, monet yritykset olivat alttiita tälle", Assetnoten teknologiajohtaja Subham Shah sanoi 2. toukokuuta antamassaan lehdistötiedotteessa. "Joissakin tapauksissa oli mahdollista käyttää tätä haavoittuvuutta yritysten AWS-tilien rikkomiseen."
CISA:n keskiviikon hätädirektiivi ohjeistaa virastoja joko korjaamaan haavoittuvuudet kaikissa VMWare-tuotteissa tai katkaisemaan ne viraston järjestelmistä. CISA kehottaa lisäksi virastoja olettamaan, että ne ovat vaarantuneet, aloittamaan uhkien metsästyksen ja ilmoittamaan välittömästi virastolle kaikista sovelluksista, jotka ovat saatavilla Internetiin.
CISA kuvasi ylivoimaisia ominaisuuksia, joita vastustajat voisivat saavuttaa hyödyntämällä haavoittuvuuksia, joita ei välttämättä voitu lieventää monitekijätodennusta käyttämällä, koska ne kohdistuvat prosesseihin, jotka tapahtuvat ennen kyseistä varmennusmenetelmää.
"Luotetun kolmannen osapuolen raportoinnin mukaan uhkatekijät voivat ketjuttaa nämä haavoittuvuudet. Eräässä vaarantuneessa organisaatiossa 12. huhtikuuta 2022 tai noin 12. huhtikuuta 2022 todentamaton toimija, jolla oli verkkoyhteys verkkokäyttöliittymään, hyödynsi CVE-2022-22954:ää suorittaakseen mielivaltaisen komentotulkkikomennon VMware-käyttäjänä", CISA sanoi ohjeen mukana. "Näyttelijä käytti sitten hyväkseen CVE-2022-22960:a lisätäkseen käyttäjän pääkäyttäjän oikeudet. Pääkäyttäjän oikeuksilla näyttelijä voisi pyyhkiä lokit, laajentaa käyttöoikeuksia ja siirtyä sivusuunnassa muihin järjestelmiin."
