Uncle Sam's Cybersecurity and Infrastructure Security Agency (CISA) on antanut kaksi varoitusta yhden päivän aikana VMware-käyttäjille, koska se uskoo, että väärintekijät voivat hyödyntää virtualisointijätin tuotteita järjestelmien hallintaan.
Virasto arvioi tämän uhan riittävän vakavaksi vaatiakseen Yhdysvaltain hallituksen virastoja poistamaan VMware-tuotteistaan, jos korjauksia ei voida asentaa.
Kahdesta varoituksesta toinen korostaa kriittistä todennuksen ohituksen haavoittuvuutta – CVE-2022-22972, arvosanaksi 9,8/10 CVSS-asteikolla – jonka VMware paljasti keskiviikkona.
Virhe vaikuttaa viiteen tuotteeseen: Workspace ONE Accessiin, VMware Identity Manageriin, VMware vRealize Automationiin, vRealize Suite Lifecycle Manageriin ja VMware Cloud Foundationiin. Meille kerrotaan, että "haitallinen toimija, jolla on verkkoyhteys käyttöliittymään, saattaa pystyä saamaan järjestelmänvalvojan käyttöoikeudet ilman todennusta."
Cloud Foundationin haavoittuvuus on pelottava, sillä kyseinen tuote on VMwaren työkalu virtuaalikoneita ja säiliöitä käyttävien hybridipilvilaitteiden rakentamiseen ja hallintaan. Tämä tarkoittaa, että luvaton käyttäjä voi saada järjestelmänvalvojan oikeudet ja ohjata näitä resursseja paikan päällä ja mahdollisesti myös VMware-pohjaisissa julkisissa pilvissä, joista yli 4 000 on VMware-kumppanien ylläpitämiä, sekä kumppanuuksia AWS:n, Microsoftin, Google, Oracle, IBM Cloud ja Alibaba Cloud.
Vaikutus muihin tuotteisiin on myös merkittävä, sillä Identity Manager ja Workspace ONE Access Control voivat myöntää pääsyn sovelluksiin ja SaaS-palveluihin VMwaren sovellusten julkaisutyökalujen kautta, kun taas vRealizella on laajat automaatiomahdollisuudet, jotka voivat koskettaa monia hybridipilvipalveluiden näkökohtia. toiminnot.
Toinen virhe, CVE-2022-22973, paljastui myös keskiviikkona, jolloin hyökkääjät voivat päästä VMware Workspace ONE Accessin ja VMware Identity Managerin pääkäyttäjäksi. Vika on arvosanaksi 7,8/10.
Kahden tietoturva-aukon aiheuttama uhka on niin merkittävä, että CISA julkaisi hätäohjeen, jossa Yhdysvaltain siviilihallinnon virastoja vaaditaan poistamaan Virtzillan haavoittuvien tuotteiden Internetissä olevat toteutukset tuotannosta 23. toukokuuta mennessä, koska niiden pitäisi katsoa vaarantuneiksi. Yhdysvaltain valtion virastojen on myös lueteltava kaikki vaikutusten kohteena olevien tuotteiden käyttö ja korjattava ne samaan määräaikaan mennessä. Jos korjaus ei ole mahdollista, CISA haluaa poistaa tuotteet toimistoverkoista riippumatta siitä, ovatko ne Internetissä tai eivät.
Yhdysvaltain valtion virastot käyttävät VMwarea erittäin laajasti. Jos sen tuotteet sammutetaan, seurauksena on todennäköisesti huomattavia tuottavuus- ja palveluhäiriöitä.
CISAn toinen varoitus VMware-käyttäjille koskee IT-jättiläisen huhtikuun 2022 alussa paljastamia puutteita. Kyberturvallisuusvirasto sanoo, että hyökkääjät, joiden se uskoo olevansa todennäköisesti edistyneitä pysyviä uhkia, käyttävät hyväkseen CVE-2022-22954- ja CVE-2022-22960-tiedostoja erikseen ja yhdistelmä saada "täysi järjestelmän hallinta". Huhtikuussa paljastetut puutteet vaikuttavat samoihin tuotteisiin kuin ne, jotka kärsivät tämän päivän ilmoituksesta.
CISA-onnettomuuksien torjuntaryhmä työskentelee jo "suuressa organisaatiossa, jossa uhkatekijät käyttivät hyväkseen CVE-2022-22954:ää", viraston neuvossa todetaan. Hyödyntämisen ja kompromissien merkkejä on havaittu "useissa muissa suurissa organisaatioissa luotetuilta kolmansilta osapuolilta".
VMwaren tämän päivän julkistamista koskevissa usein kysytyissä kysymyksissä kysytään: "Miksi näille ohjelmistokomponenteille on olemassa toinen VMSA?"
VMwaren vastauksessa sanotaan:
Kun tietoturvatutkija löytää haavoittuvuuden, se kiinnittää usein muiden tietoturvatutkijoiden huomion, jotka tuovat tutkimukseen erilaisia näkökulmia ja kokemuksia. VMware ymmärtää, että lisäkorjaukset ovat haitallisia IT-henkilöstölle, mutta tasapainotamme tämän huolen sitoutumisella avoimuuteen, asiakkaidemme pitämiseen ajan tasalla ja mahdollisten hyökkäyksien edessä.Kuitenkin CISA:n neuvojen mukaan VMwaren asiakkaat eivät pääse näiden edellä. hyökkäyksiä. Sen sijaan he ovat paikkausmatolla. ®
Hanki tekniset resurssit
