A VMware emite correções críticas, a CISA ordena que as agências federais ajam imediatamente (CVE-2022-22972)

Views: 216
0 0
Read Time:2 Minute, 43 Second

A VMware lançou patches para uma vulnerabilidade crítica relatada privadamente (CVE-2022-22972) nos produtos Workspace ONE Access da VMware, VMware Identity Manager (vIDM), vRealize Lifecycle Manager, vRealize Automation e VMware Cloud Foundation, e está instando os administradores a corrigir ou mitigar imediatamente, porque “as ramificações dessa vulnerabilidade são sérias”.

Simultaneamente, a Agência de Segurança cibernética e segurança de infraestrutura (CISA) emitiu uma diretiva de emergência para todas as agências do poder executivo federal, que são ordenadas a enumerar todas as instâncias dos produtos VMware afetados e implantar as atualizações fornecidas pela VMware ou remover essas instâncias das redes de agências até 23 de maio (segunda-feira).

Sobre cve-2022-22972

CVE-2022-22972 é uma vulnerabilidade de desvio de autenticação que afeta usuários de domínio locais, que poderia ser explorada por atores mal-intencionados com acesso à interface do usuário para obter acesso administrativo sem a necessidade de autenticar. Ele afeta o VMware Workspace ONE Access, Identity Manager e vRealize.

Os patches lançados pela VMware na quarta-feira também corrigem o CVE-2022-22973, uma vulnerabilidade de escalada de privilégios local no VMware Workspace ONE Access and Identity Manager, que poderia permitir que invasores com acesso local obtenham privilégios “raiz” em sistemas vulneráveis.

Em um post suplementar no blog, o VMware observa que, embora algumas soluções alternativas para as falhas de segurança descobertas estejam disponíveis, há desvantagens em usá-las em vez de implementar os patches.

“A solução alternativa tornará os administradores incapazes de entrar no console Workspace ONE Access usando a conta de administração local, o que pode afetar as operações da sua organização”, explicou a empresa, e observou que a única maneira de remover as vulnerabilidades do ambiente é aplicar os patches.

“As soluções alternativas, embora convenientes, não removem as vulnerabilidades e podem introduzir complexidades adicionais que o patching não faria”, acrescentaram.

Sem exploração ativa – ainda!

Não há explorações poc para CVE-2022-22972 ou CVE-2022-22973 e não há menção de eles serem explorados por atacantes.

No entanto, A CISA diz que, uma vez que “os atores de ameaças foram capazes de reverter o engenheiro [uma atualização vmware anterior que corrigiu cve 2022-22954 e CVE 2022-22960] e começar a explorar os produtos VMware impactados que permaneceram não corrigidos dentro de 48 horas após o lançamento da atualização”, a agência “espera que os atores de ameaças desenvolvam rapidamente uma capacidade de explorar essas vulnerabilidades recém-lançadas nos mesmos produtos VMware impactados”.

Consequentemente, determinou ações emergenciais de todas as agências federais do Poder Executivo Civil.

A CISA também lançou um aviso de segurança cibernética detalhando IoCs, assinaturas de detecção e recomendações de reponsamento de incidentes para ajudar os administradores a detectar e responder à exploração ativa do CVE-2022-22954 e do CVE-2022-22960.

A VMware observou que, aplicando as últimas atualizações de produtos (com patches), os administradores que não implementaram anteriormente correções para cve 2022-22954 e CVE 2022-22960 obterão simultaneamente, pois “as atualizações de produtos VMware são cumulativas para segurança”.

Ainda assim, isso não significa que suas instalações ainda não foram comprometidas pelos atacantes, então eles fariam bem em rever o aviso de segurança da CISA e procurar evidências de compromisso.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS