Федералните агенции трябва да докладват на Агенцията за киберсигурност и сигурност на инфраструктурата през следващите дни за състоянието на уязвимостите на продуктите на VMWare, които агенцията отбеляза в спешна директива в сряда.
„CISA установи, че тези уязвимости представляват неприемлив риск за агенциите на Федералната гражданска изпълнителна власт и изискват спешни действия“, каза агенцията, като наложи краен срок до понеделник, 23 май, на обяд за необходимите действия. „Това решение се основава на потвърденото използване на CVE-2022-22954 и CVE-2022-22960 от участници в заплаха в дивата природа, вероятността за бъдещо използване на CVE-2022-22972 и CVE-2022-22973, разпространението на засегнатият софтуер във федералното предприятие и високият потенциал за компрометиране на информационните системи на агенцията.
VMWare е компания на Dell, специализирана в технологии за облачни изчисления и мрежова виртуализация. По-рано този месец изследователи от фирмата за непрекъснат мониторинг на сигурността Assetnote съобщиха, че уязвимост в Workspace One на VMWare [Unified Endpoint Management] може да е компрометирала облачните акаунти на компаниите.
„Въпреки че не мога да споделя точни подробности за това кои компании са засегнати, имаше голям брой предприятия, които бяха уязвими на това“, каза главният технологичен директор на Assetnote Субхам Шах в прессъобщение от 2 май. „В някои случаи беше възможно да се използва тази уязвимост, за да се пробият AWS акаунтите на компаниите.“
Извънредната директива на CISA от сряда инструктира агенциите или да коригират уязвимостите във всички екземпляри на продуктите на VMWare, или да ги изключат от системите на агенцията. За всички приложения, които са изправени пред интернет, CISA допълнително насочва агенциите да приемат, че са били компрометирани, да започнат лов на заплахи и незабавно да докладват на агенцията.
CISA описва огромни възможности, които противниците могат да постигнат чрез експлоатиране на уязвимостите, които не могат непременно да бъдат смекчени чрез прилагането на многофакторно удостоверяване, тъй като те са насочени към процеси, които се случват преди този метод за проверка.
„Според доверени доклади от трети страни, участниците в заплахите могат да свържат верижно тези уязвимости. В една компрометирана организация, на или около 12 април 2022 г., неупълномощен актьор с мрежов достъп до уеб интерфейса използва CVE-2022-22954, за да изпълни произволна команда на обвивката като потребител на VMware“, каза CISA в съвет, придружаващ директивата. „След това актьорът използва CVE-2022-22960, за да ескалира привилегиите на потребителя до root. С root достъп, актьорът може да изтрие регистрационни файлове, да ескалира разрешения и да се премести странично към други системи.