Én av sårbarhetene tillater forbigåing av autentisering og er klassifisert som kritisk. Denne berører VMware Workspace ONE Access, Identity Manager og vRealize Automation. Sårbarheten har CVE-nummer CVE-2022-22972, en CVSSv3-verdi på 9.8 og kan potensielt gi en angriper administratortilgang uten autentisering.

CISA har samtidig gått ut med et nøddirektiv (ED 22-03) som pålegger alle offentlige etater å oppdatere sine berørte VMware-systemer [3]. CISA har observert ondsinnede aktører utnytte VMware-sårbarhetene adressert av VMware i april [2] og forventer å se utnyttelse av CVE-2022-22972 og CVE-2022-22973 innen kort tid [3].

NCSC støtter vurderingen til CISA og oppfordrer alle berørte virksomheter til å oppdatere sine systemer så snart det lar seg gjøre. Nødvendig informasjon, patcher og mitigeringstiltak finnes på VMware sine nettsider [1].

CISA har også publisert informasjon knyttet til utnyttelse av sårbarhetene i april, "Actors Chaining Unpatched VMware Vulnerabilities for Full System Control" [4]. Da observerte man at ondsinnede aktører evnet å utnytte sårbarhetene innen 48 timer. CISA har lagt ved tekniske indikatorer og signaturer som virksomheter kan benytte for å undersøke om de er kompromittert. Dette er spesielt aktuelt hvis man ikke patchet innen rimelig tid i april.

Følgende sårbarheter ble adressert av VMware 18. mai 2022 i VMSA-2022-0014 [1]:

* Authentication Bypass Vulnerability (CVE-2022-22972) - CVSS: 9.8

** Berører VMware Workspace ONE Access, Identity Manager og vRealize Automation, samt VMware Cloud Foundation og vRealize Suite Lifecycle Manager

* Local Privilege Escalation Vulnerability (CVE-2022-22960) - CVSS: 7.8

** Berører VMware Workspace ONE Access og Identity Manager, samt VMware Cloud Foundation og vRealize Suite Lifecycle Manager

Referanser:

[1] https://www.vmware.com/security/advisories/VMSA-2022-0014.html

[2] https://www.vmware.com/security/advisories/VMSA-2022-0011.html

[3] https://www.cisa.gov/emergency-directive-22-03

[4] https://www.cisa.gov/uscert/ncas/alerts/aa22-138b