В среду, 18 мая, компания VMware сообщила о множестве недостатков безопасности в VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, vRealize Suite Lifecycle Manager.
Уязвимости отслеживаются как CVE-2022-22972 и CVE-2022-22973, которые представляют собой обход аутентификации с оценкой серьезности 9,8 из 10 и уязвимость локального повышения привилегий с оценкой 7,8.
По данным CISA, крайняя мера удаления продуктов, если они не могут быть исправлены, основана на использовании критических недостатков VMware в течение 48 часов после их раскрытия.
Злоумышленник с сетевым доступом к пользовательскому интерфейсу управления может получить к нему доступ без необходимости ввода пароля, предупреждает VMware в бюллетене.
Доступны исправления, и VMware призывает клиентов немедленно применить их или устранить проблемы, предупредив в отдельном сообщении в блоге, что "последствия этой уязвимости серьезны".
CISA приказала федеральным гражданским агентствам США немедленно исправить их или удалить уязвимые продукты на основании почти немедленного и широко распространенного использования двух недостатков VMware — CVE-2022-22954 и CVE-2022-22960 — в тех же продуктах в апреле.
VMware выпустила исправления для них в апреле, но злоумышленники быстро перепроектировали исправления и объединили их вместе для эксплуатации.
"Кибер-злоумышленники смогли перепроектировать обновления поставщиков для разработки эксплойта в течение 48 часов и быстро начали использовать обнаруженные уязвимости в неисправленных устройствах", — говорится в сообщении CISA.
Основываясь на этой деятельности, CISA ожидает, что злоумышленники быстро разработают возможность использовать CVE-2022-22972 и CVE-2022-22973, которые были раскрыты VMware 18 мая 2022 года.
12 апреля, через шесть дней после того, как VMware выпустила исправления, компания Rapid7, занимающаяся безопасностью, наблюдала активную эксплуатацию в "дикой природе". Вскоре после этого было использовано несколько общедоступных эксплойтов для проверки концепции, чтобы установить майнеры монет на уязвимые системы. Злоумышленники объединили CVE-2022-22954 (проблема внедрения шаблона на стороне сервера, влияющая на VMware Workspace ONE Access и Identity Manager) с CVE-2022-22960 (ошибка локального повышения привилегий) для эскалации до привилегий root.
CISA выпустила экстренную директиву, требующую от федеральных агентств немедленно исправить апрельские недостатки VMware, как это было сделано с недостатками Apache Log4j "Log4Shell".
Орган безопасности издал ту же директиву для федеральных агентств в отношении последних недостатков VMware, отметив, что недостатки "представляют неприемлемый риск" для федеральных гражданских агентств.
"CISA ожидает, что злоумышленники быстро разработают возможность использовать эти недавно выпущенные уязвимости в тех же уязвимых продуктах VMware. Использование вышеуказанных уязвимостей позволяет злоумышленникам инициировать внедрение шаблона на стороне сервера, что может привести к удаленному выполнению кода (CVE-2022-22954). ); повысить привилегии до "root" (CVE-2022-22960 и CVE-2022-22973) и получить административный доступ без необходимости аутентификации (CVE-2022-22972)", — говорится в сообщении.
Органы кибербезопасности других стран не выпускали предупреждений о последних недостатках VMware. Однако CISA рекомендует всем организациям быстро исправлять их, если уязвимые системы доступны из Интернета. Компания VMware опубликовала меры по устранению последствий для некоторых уязвимых продуктов.
Иван Ковалев
VIA