Las agencias federales deben informar a la Agencia de Seguridad de Infraestructura y Ciberseguridad en los próximos días sobre el estado de las vulnerabilidades de los productos VMWare que la agencia señaló en una directiva de emergencia el miércoles.
“CISA ha determinado que estas vulnerabilidades representan un riesgo inaceptable para las agencias del Poder Ejecutivo Federal Civil y requieren una acción de emergencia”, dijo la agencia, imponiendo como fecha límite el lunes 23 de mayo al mediodía para las acciones requeridas. “Esta determinación se basa en la explotación confirmada de CVE-2022-22954 y CVE-2022-22960 por actores de amenazas en la naturaleza, la probabilidad de explotación futura de CVE-2022-22972 y CVE-2022-22973, la prevalencia de la software afectado en la empresa federal, y el alto potencial de compromiso de los sistemas de información de la agencia”.
VMWare es una empresa de Dell que se especializa en tecnología para computación en la nube y virtualización de redes. A principios de este mes, los investigadores de la firma de monitoreo continuo de seguridad Assetnote informaron que una vulnerabilidad en Workspace One [Administración unificada de puntos finales] de VMWare podría haber comprometido las cuentas en la nube de las empresas.
"Si bien no puedo compartir detalles exactos sobre qué empresas se vieron afectadas, hubo una gran cantidad de empresas que eran vulnerables a esto", dijo el director de tecnología de Assetnote, Subham Shah, en un comunicado de prensa del 2 de mayo. “En algunos casos, fue posible utilizar esta vulnerabilidad para violar las cuentas de AWS de las empresas”.
La directiva de emergencia de CISA del miércoles instruye a las agencias a parchear las vulnerabilidades en todas las instancias de los productos VMWare o desconectarlos de los sistemas de la agencia. Para cualquier aplicación que esté orientada a Internet, CISA también indica a las agencias que asuman que se han visto comprometidas, inicien la búsqueda de amenazas e informen de inmediato a la agencia.
CISA describió capacidades abrumadoras que los adversarios podrían lograr al explotar las vulnerabilidades, que no necesariamente podrían mitigarse mediante la implementación de autenticación multifactor, ya que se dirigen a procesos que ocurren antes de ese método de verificación.
“Según informes de terceros confiables, los actores de amenazas pueden encadenar estas vulnerabilidades. En una organización comprometida, alrededor del 12 de abril de 2022, un actor no autenticado con acceso de red a la interfaz web aprovechó CVE-2022-22954 para ejecutar un comando de shell arbitrario como usuario de VMware”, dijo CISA en un aviso que acompaña a la directiva. “El actor luego explotó CVE-2022-22960 para escalar los privilegios del usuario a root. Con acceso raíz, el actor podría borrar registros, escalar permisos y moverse lateralmente a otros sistemas”.