0
0
Vulnerabilidades críticas de desvio de autenticação nas ofertas Citrix e VMware estão ameaçando dispositivos que executam espaços de trabalho remotos com total controle, alertaram os fornecedores nesta semana.
Os administradores devem priorizar a aplicação de patches, dado o histórico de exploração que ambos os fornecedores possuem. Ambas as divulgações provocaram alertas da CISA na quarta-feira.
Citrix Gateway: uma avenida perfeita para infestar organizações
Quanto ao Citrix, um bug crítico rastreado como CVE-2022-27510 (com uma pontuação de gravidade de vulnerabilidade CVSS de 9,8 em 10) permite acesso não autenticado ao Citrix Gateway quando o dispositivo é usado como uma solução SSL VPN. Nessa configuração, ele dá acesso a aplicativos internos da empresa de qualquer dispositivo pela Internet e oferece logon único entre aplicativos e dispositivos. Em outras palavras, a falha daria a um invasor bem-sucedido os meios para obter acesso inicial com facilidade, depois se aprofundar na pegada de nuvem de uma organização e causar estragos em toda a rede.
A Citrix também observou no comunicado que seu produto Application Delivery Controller (ADC), que é usado para fornecer visibilidade de administração em aplicativos em várias instâncias de nuvem, é vulnerável a controle remoto de desktop (CVE-2022-27513, CVSS 8.3) e força bruta bypass de proteção (CVE-2022-27516, CVSS 5.3).
O pesquisador da Tenable, Satnam Narang, observou que o Citrix Gateway e o ADC, graças a quantas partes de uma organização eles fornecem entrada, são sempre os alvos favoritos dos cibercriminosos, portanto, corrigir agora é importante.
“O Citrix ADC e os Gateways têm sido alvos rotineiros de vários agentes de ameaças nos últimos anos por meio da exploração do CVE-2019-19781, uma vulnerabilidade de passagem de caminho crítico que foi divulgada pela primeira vez em dezembro de 2019 e posteriormente explorada a partir de janeiro de 2020 após scripts de exploração para a falha tornaram-se publicamente disponíveis”, escreveu ele em um blog na quarta -feira .
“O CVE-2019-19781 foi aproveitado por agentes de ameaças patrocinados pelo Estadocom vínculos com a China e o Irã, como parte de ataques de ransomware contra várias entidades, incluindo o setor de saúde, e foi recentemente incluído como parte de uma lista atualizada das principais vulnerabilidades exploradas. pelos atores patrocinados pelo Estado da República Popular da China desde o início de outubro”, continuou Narang.
Os usuários devem atualizar o mais rápido possível para as versões 13.1-33.47, 13.0-88.12 e 12.1-65.21 do Gateway para corrigir os problemas mais recentes.
VMware Workspace ONE Assist: um trio de terror de crimes cibernéticos
Enquanto isso, a VMware relatou três bugs de desvio de autenticação, todos em seu Workspace ONE Assist for Windows. Os bugs (CVE-2022-31685, CVE-2022-31686 e CVE-2022-31687, todos com CVSS 9.8) permitem que invasores locais e remotos obtenham privilégios de acesso administrativo sem a necessidade de autenticação, fornecendo a eles uma execução completa de dispositivos.
O Workspace ONE Assist é um produto de área de trabalho remota usado principalmente pelo suporte técnico para solucionar problemas e corrigir problemas de TI para funcionários de longe; como tal, ele opera com os mais altos níveis de privilégio, potencialmente dando aos invasores remotos um alvo de acesso inicial ideal e um ponto de pivô para outros recursos corporativos.
A VMware também divulgou duas vulnerabilidades adicionais no Workspace ONE Assist. Uma é uma falha de cross-site scripting (XSS) (CVE-2022-31688, CVSS 6.4) e a outra (CVE-2022-31689, CVSS 4.2) permite que um “ator malicioso que obtém um token de sessão válido se autentique no aplicativo usando esse token”, de acordo com o comunicado de terça -feira do fornecedor .
Assim como a Citrix, a VMware tem um histórico de ser alvo de cibercriminosos. Uma vulnerabilidade crítica no Workspace ONE Access (usado para entregar aplicativos corporativos a funcionários remotos) rastreada como CVE-2022-22954 divulgada em abril foi quase imediatamente seguida por uma exploração de prova de conceito (PoC) lançada no GitHub e twittada para o mundo. Sem surpresa, pesquisadores de várias empresas de segurança começaram a ver sondagens e tentativas de exploração logo depois – com o objetivo final de infectar alvos com vários botnets ou estabelecer um backdoor via Log4Shell .
Os usuários devem atualizarpara a versão 22.10 do Workspace ONE Assist para corrigir todos os problemas divulgados mais recentemente.
FONTE: DARK READING