Les agences fédérales doivent rendre compte à l'Agence de la cybersécurité et de la sécurité des infrastructures au cours des prochains jours de l'état des vulnérabilités des produits VMWare que l'agence a signalées dans une directive d'urgence mercredi.
"CISA a déterminé que ces vulnérabilités présentent un risque inacceptable pour les agences du pouvoir exécutif civil fédéral et nécessitent une action d'urgence", a déclaré l'agence, imposant une date limite au lundi 23 mai à midi pour les actions requises. "Cette détermination est basée sur l'exploitation confirmée de CVE-2022-22954 et CVE-2022-22960 par des acteurs de la menace dans la nature, la probabilité d'une exploitation future de CVE-2022-22972 et CVE-2022-22973, la prévalence de la les logiciels concernés dans l'entreprise fédérale et le potentiel élevé de compromission des systèmes d'information des agences.
VMWare est une société Dell spécialisée dans les technologies de cloud computing et de virtualisation de réseau. Plus tôt ce mois-ci, des chercheurs de la société de surveillance continue de la sécurité Assetnote ont signalé qu'une vulnérabilité dans Workspace One [Unified Endpoint Management] de VMWare aurait pu compromettre les comptes cloud des entreprises.
"Bien que je ne puisse pas partager les détails exacts sur les entreprises touchées, un grand nombre d'entreprises étaient vulnérables à cela", a déclaré Subham Shah, directeur de la technologie d'Assetnote, dans un communiqué de presse du 2 mai. "Dans certains cas, il était possible d'utiliser cette vulnérabilité pour violer les comptes AWS des entreprises."
La directive d'urgence de CISA mercredi demande aux agences de corriger les vulnérabilités sur toutes les instances des produits VMWare ou de les déconnecter des systèmes de l'agence. Pour toutes les applications faisant face à Internet, la CISA ordonne en outre aux agences de supposer qu'elles ont été compromises, de lancer une chasse aux menaces et de signaler immédiatement à l'agence.
CISA a décrit les capacités écrasantes que les adversaires pourraient atteindre en exploitant les vulnérabilités, qui ne pourraient pas nécessairement être atténuées par la mise en œuvre de l'authentification multifacteur car ils ciblent les processus qui se produisent avant cette méthode de vérification.
"Selon les rapports de tiers de confiance, les acteurs de la menace peuvent enchaîner ces vulnérabilités. Dans une organisation compromise, le 12 avril 2022 ou vers cette date, un acteur non authentifié disposant d'un accès réseau à l'interface Web a utilisé CVE-2022-22954 pour exécuter une commande shell arbitraire en tant qu'utilisateur VMware », a déclaré la CISA dans un avis accompagnant la directive. "L'acteur a ensuite exploité CVE-2022-22960 pour élever les privilèges de l'utilisateur à root. Avec un accès root, l'acteur peut effacer les journaux, augmenter les autorisations et se déplacer latéralement vers d'autres systèmes.
