VMWare ranjivosti se aktivno iskorištavaju, upozorava CISA
  • VRIJEME ČITANJA: 6 MINUTA

Agencija za kibernetičku i infrastrukturnu sigurnost izdala je hitnu direktivu ED 22-03 i objavila Savjetovanje o kibernetičkoj sigurnosti (CSA) o tekućem i očekivanom iskorištavanju višestrukih ranjivosti u nekoliko VMware proizvoda.

Povezivanje nezakrpanih VMware ranjivosti
Naslov savjetovanja je “Aktori prijetnji povezuju nezakrpljene VMware ranjivosti za potpunu kontrolu sustava”. To je pomalo zbunjujuće jer postoje zakrpe za te ranjivosti, ali akteri prijetnji aktivno napadaju nezakrpljene sustave.

Upozorenje upozorava organizacije da akteri zlonamjernih prijetnji, najvjerojatnije akteri napredne trajne prijetnje (APT), iskorištavaju CVE-2022-22954 i CVE-2022-22960 zasebno iu kombinaciji.

CVE-2022-22954 : VMware Workspace ONE Access i Identity Manager sadrže ranjivost udaljenog izvršavanja koda zbog ubrizgavanja predloška na strani poslužitelja. Zlonamjerni akter s pristupom mreži može pokrenuti injekciju predloška na strani poslužitelja koja može rezultirati daljinskim izvršavanjem koda.

Injekcija predloška na strani poslužitelja je kada napadač može ubaciti zlonamjerno opterećenje u predložak, koji se zatim izvršava na strani poslužitelja.

CVE-2022-22960 : VMware Workspace ONE Access, Identity Manager i vRealize Automation sadrže ranjivost eskalacije privilegija zbog neispravnih dopuštenja u skriptama za podršku. Zlonamjerni akter s lokalnim pristupom može eskalirati privilegije root-u.

Obje ove ranjivosti zakrpljene su 6. travnja 2022. No, zlonamjernim prijetnjama je trebalo manje od 48 sati da obrnuti inženjering ažuriranja dobavljača da razviju eksploataciju i počnu iskorištavati ove otkrivene ranjivosti na uređajima bez zakrpe.

18. svibnja 2022. CISA je rekla da očekuje da će akteri zlonamjernih prijetnji brzo razviti sposobnost iskorištavanja CVE-2022-22972 i CVE-2022-22973.

CVE-2022-22972 : je ranjivost zaobilaženja autentifikacije u VMware Workspace ONE Access, Identity Manageru i vRealize Automationu koja utječe na korisnike lokalne domene. Kako bi iskoristio ovu ranjivost, udaljeni napadač sposoban pristupiti odgovarajućem korisničkom sučelju mogao bi zaobići autentifikaciju za te različite proizvode.

CVE-2022-22973 : je ranjivost lokalne eskalacije privilegija u VMware Workspace ONE Access and Identity Manageru. Kako bi iskoristio ovu ranjivost, napadač bi trebao imati lokalni pristup ranjivim instancama Workspace ONE Access and Identity Managera. Uspješno iskorištavanje omogućilo bi napadaču da dobije "root" privilegije.


CISA snažno potiče sve organizacije da implementiraju ažuriranja navedena u VMware Security Advisory VMSA-2022-0014 ili uklone te instance s mreža. CISA je dodala CVE-2022-22954 i CVE-2022-22960 u svoj katalog poznatih iskorištenih ranjivosti , a savezna, izvršna vlast, odjeli i agencije morali su zakrpiti te ranjivosti do 5. i 6. svibnja. Razumljivo je da će dvije nove ranjivosti slijediti njihov primjer.

CISA potiče organizacije sa zahvaćenim VMware proizvodima koji su dostupni s interneta da pretpostave da su ugroženi i da pokrenu aktivnosti u potrazi za prijetnjama. Kako bi pomogla u otkrivanju prijetnji, CISA je osigurala metode otkrivanja i indikatore kompromisa (IOC) u CSA- u .

U matrici odgovora, kao što je navedeno u VMWare savjetovanju , možete pronaći zahvaćene proizvode i verzije.

Related Articles

Uvjeti pružanja usluge

Iperius backup

Cjenik

Danas je sjedište tvrtke Emsisoft na Novom Zelandu, ali održava globalnu prisutnost putem lokalnih timova u svim vremenskim zonama. Zlonamjerni softver ne spava, a ni mi.

 

Korisni linkovi