Kritiske sårbarheter i VMware-produkter
NCSC ønsker å informere om sårbarheter i produkter fra VMware publisert 18. mai 2022 [1].
Én av sårbarhetene tillater forbigåing av autentisering og er klassifisert som kritisk. Denne berører VMware Workspace ONE Access, Identity Manager og vRealize Automation. Sårbarheten har CVE-nummer CVE-2022-22972, en CVSSv3-verdi på 9.8 og kan potensielt gi en angriper administratortilgang uten autentisering.
CISA har samtidig gått ut med et nøddirektiv (ED 22-03) som pålegger alle offentlige etater å oppdatere sine berørte VMware-systemer [3]. CISA har observert ondsinnede aktører utnytte VMware-sårbarhetene adressert av VMware i april [2] og forventer å se utnyttelse av CVE-2022-22972 og CVE-2022-22973 innen kort tid [3].
NCSC støtter vurderingen til CISA og oppfordrer alle berørte virksomheter til å oppdatere sine systemer så snart det lar seg gjøre. Nødvendig informasjon, patcher og mitigeringstiltak finnes på VMware sine nettsider [1].
CISA har også publisert informasjon knyttet til utnyttelse av sårbarhetene i april, "Actors Chaining Unpatched VMware Vulnerabilities for Full System Control" [4]. Da observerte man at ondsinnede aktører evnet å utnytte sårbarhetene innen 48 timer. CISA har lagt ved tekniske indikatorer og signaturer som virksomheter kan benytte for å undersøke om de er kompromittert. Dette er spesielt aktuelt hvis man ikke patchet innen rimelig tid i april.
Følgende sårbarheter ble adressert av VMware 18. mai 2022 i VMSA-2022-0014 [1]:
* Authentication Bypass Vulnerability (CVE-2022-22972) - CVSS: 9.8
** Berører VMware Workspace ONE Access, Identity Manager og vRealize Automation, samt VMware Cloud Foundation og vRealize Suite Lifecycle Manager
* Local Privilege Escalation Vulnerability (CVE-2022-22960) - CVSS: 7.8
** Berører VMware Workspace ONE Access og Identity Manager, samt VMware Cloud Foundation og vRealize Suite Lifecycle Manager
Referanser:
[1] https://www.vmware.com/security/advisories/VMSA-2022-0014.html
[2] https://www.vmware.com/security/advisories/VMSA-2022-0011.html