CISA emite alerta de emergencia para mitigar vulnerabilidades do VMware

CISA emite alerta de emergencia para mitigar vulnerabilidades do VMware. Diretiva de emergênica 22-03 Mitigar as Vulnerabilidades do VMware”.

A VMware alertou os clientes hoje para corrigir imediatamente uma vulnerabilidade crítica de desvio de autenticação que “afeta usuários de domínio local” em vários produtos que podem ser explorados para obter privilégios de administrador.

A falha (rastreada como CVE-2022-22972) foi relatada por Bruno López, da Innotec Security, que descobriu que afeta o Workspace ONE Access, VMware Identity Manager (vIDM) e vRealize Automation.

Um ator mal-intencionado com acesso de rede à interface do usuário pode obter acesso administrativo sem a necessidade de autenticação“, explica a empresa .

Em 18 de maio, a VMWare anunciou a disponibilidade de patches para duas vulnerabilidades críticas que afetam cinco produtos de software: Workspace ONE Access, VMware Identity Manager, vRealize Automation, VMware Cloud Foundation e vRealize Suite LifecycleManager. No mesmo dia, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) divulgou uma Diretiva de Emergência para entidades federais para mitigar os riscos de CVE 2022-22972 e CVE 2022-22973. Esses dois CVEs são vulnerabilidades de desvio e escalonamento de autenticação que podem ser aproveitadas para obter privilégios de administrador nos produtos afetados. A VMware lançou patches que corrigem o problema e, embora também forneça uma solução temporária, a VMware recomenda a correção o mais rápido possível.

Em abril, duas outras vulnerabilidades do VMware (CVE 2022-22954 e CVE 2022-22960) tiveram explorações ativas desenvolvidas dentro de 48 horas após o lançamento dos patches. A CISA acredita que as explorações para as novas vulnerabilidades serão desenvolvidas o mais rápido possível e está exigindo que as entidades federais identifiquem e corrijam todos os ativos afetados. É sensato que a indústria privada tome nota da urgência que as agências federais estão aplicando a essa questão para priorizar também a correção.

Background

Os agentes de ameaças, incluindo os prováveis ​​agentes de ameaças persistentes avançadas (APT), estão explorando vulnerabilidades (CVE 2022-22954 e CVE 2022-22960) nos seguintes produtos VMware: VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation e vRealize Suite Lifecycle Manager. A VMware lançou uma atualização para resolver essas vulnerabilidades em 6 de abril de 2022, e os agentes de ameaças conseguiram fazer engenharia reversa da atualização e iniciar a exploração dos produtos VMware afetados que permaneceram sem correção dentro de 48 horas após o lançamento da atualização.

Em 18 de maio de 2022, a VMware lançou uma atualização para duas novas vulnerabilidades (CVE-2022-22972 e CVE-2022-22973). Com base no exposto, a CISA espera que os agentes de ameaças desenvolvam rapidamente uma capacidade de explorar essas vulnerabilidades recém-lançadas nos mesmos produtos VMware afetados. A exploração das vulnerabilidades acima permite que os invasores acionem uma injeção de modelo do lado do servidor que pode resultar na execução remota de código (CVE-2022-22954); escalar privilégios para ‘root’ (CVE-2022-22960 e CVE-2022-22973); e obter acesso administrativo sem necessidade de autenticação (CVE-2022-22972).

A CISA determinou que essas vulnerabilidades representam um risco inaceitável para os órgãos do Poder Executivo Civil Federal (FCEB) e requerem ação emergencial. Esta determinação é baseada na exploração confirmada de CVE-2022-22954 e CVE-2022-22960 por agentes de ameaças na natureza, a probabilidade de exploração futura de CVE-2022-22972 e CVE-2022-22973, a prevalência dos afetados software na empresa federal e o alto potencial de comprometimento dos sistemas de informação das agências.

Observe que os requisitos das Diretrizes Operacionais Vinculantes 22-01 e 19-02 da CISA permanecem em vigor. CVE 2022-22954 e CVE 2022-22960 foram adicionados ao catálogo de vulnerabilidades exploradas conhecidas (KEVs) da CISA em 14 de abril e 15 de abril de 2022, respectivamente. A CISA afirma que continuará monitorando a exploração e adicionará KEVs ao catálogo BOD 22-01 à medida que atingirem os limites definidos aqui https://www.cisa.gov/known-exploited-vulnerabilities . 

Administradores instados a corrigir imediatamente

Esta vulnerabilidade crítica deve ser corrigida ou mitigada imediatamente de acordo com as instruções do VMSA-2021-0014”, alertou a VMware na quarta-feira.

As ramificações desta vulnerabilidade são sérias. Dada a gravidade da vulnerabilidade, recomendamos uma ação imediata,

A empresa também corrigiu uma segunda falha de segurança de escalonamento de privilégio local de alta gravidade (CVE-2022-22973) que pode permitir que invasores elevem as permissões em dispositivos não corrigidos para ‘root’.

A lista completa de produtos VMware afetados por esses bugs de segurança inclui:

  • Acesso ao VMware Workspace ONE (Acesso)
  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • Gerenciador de ciclo de vida do vRealize Suite

Embora a VMware geralmente adicione uma observação sobre exploração ativa à maioria dos avisos de segurança, a VMware não incluiu essas informações no aviso VMSA-2022-0014 de hoje.

A VMware fornece links para download de patches e instruções de instalação em seu site de base de conhecimento .

Solução alternativa também disponível

A VMware também oferece soluções temporárias para administradores que não podem corrigir seus dispositivos imediatamente.

As etapas detalhadas aqui exigem que os administradores desativem todos os usuários, exceto um administrador provisionado, e efetuem login via SSH para reiniciar o serviço horizon-workspace.

No entanto, a empresa não recomenda aplicar essa solução alternativa e diz que a única maneira de resolver totalmente a vulnerabilidade CVE-2022-22972 é corrigir os produtos vulneráveis.

A única maneira de remover as vulnerabilidades do seu ambiente é aplicar os patches fornecidos na VMSA-2021-0014. As soluções alternativas, embora convenientes, não removem as vulnerabilidades e podem introduzir complexidades adicionais que o patch não faria“, acrescentou VMware.

Embora a decisão de corrigir ou usar a solução alternativa seja sua, a VMware sempre recomenda a aplicação de patches como a maneira mais simples e confiável de resolver esse tipo de problema.

Um documento de suporte com uma lista de perguntas e respostas sobre a vulnerabilidade crítica corrigida hoje está disponível aqui .

Em abril, a VMware corrigiu outra vulnerabilidade crítica , um bug de execução remota de código (CVE-2022-22954) no VMware Workspace ONE Access e no VMware Identity Manager.

Os invasores começaram a explorá-lo em ataques uma semana depois que uma exploração de prova de conceito foi lançada online para implantar mineradores de moedas e instalar backdoors .

Fonte: BleepingComputer & CISA

Veja também:

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!