La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) del tío Sam ha emitido dos advertencias en un solo día a los usuarios de VMware, ya que cree que los productos del gigante de la virtualización pueden ser explotados por malditos para obtener el control de los sistemas.
La agencia califica esta amenaza como lo suficientemente seria como para exigir que las agencias gubernamentales de los Estados Unidos se enciendan sus productos VMware si los parches no se pueden aplicar.
De las dos advertencias, se destaca una vulnerabilidad de derivación de autenticación crítica: CVE-2022-22972, clasificado 9.8 de 10 en la escala CVSS, que VMware reveló el miércoles.
La falla impacta cinco productos: el espacio de trabajo One Access, VMware Identity Manager, VMware vRealize Automation, VRealize Suite Lifecycle Manager y VMware Cloud Foundation.Se nos dice que "un actor malicioso con acceso a la red a la interfaz de usuario puede obtener acceso administrativo sin la necesidad de autenticar."
La vulnerabilidad en la base de la nube es aterradora, ya que ese producto es la herramienta de VMware para construir y administrar plataformas híbridas de múltiples nubes que ejecutan máquinas y contenedores virtuales.Eso significa que un usuario no autorizado puede obtener privilegios de nivel de administración e impulsar esos recursos en el primerGoogle, Oracle, IBM Cloud y Alibaba Cloud.
El impacto en los otros productos también es significativo, ya que Identity Manager y Workspace One Access Control puede otorgar acceso a aplicaciones y servicios SaaS a través de las herramientas de publicación de aplicaciones de VMware, mientras que VRealize tiene amplias habilidades de automatización que podrían tocar muchos aspectos de las operaciones en la nube híbrida..
Un segundo defecto, CVE-2022-22973, también reveló que el miércoles permite a los atacantes convertirse en root en el espacio de trabajo VMware One Access y VMware Identity Manager.El defecto está clasificado 7.8 de 10.
La amenaza planteada por los dos agujeros de seguridad es tan significativa que CISA emitió una directiva de emergencia que requiere que las agencias gubernamentales civiles estadounidenses extraen cualquier implementación expuesta a Internet de las mercancías vulnerables de Virtzilla de la producción antes del 23 de mayo, ya que deben considerarse comprometidas.Las agencias gubernamentales de los Estados Unidos también deben enumerar todo el uso de los productos impactados y parchearlos en la misma fecha límite.Si el parche no es posible, CISA quiere que los productos se eliminen de las redes de agencias, ya sea que estén orientadas por Internet o no.
VMware es muy utilizado por las agencias gubernamentales de EE. UU..Si sus productos están apagados, probablemente la productividad y la interrupción del servicio probablemente seguirán.
La otra advertencia de CISA a los usuarios de VMware considera los defectos que el gigante de TI reveló a principios de abril de 2022.La agencia de ciberseguridad dice que los atacantes que siente probablemente sean avanzados de amenaza persistente que los actores están explotando CVE-2022-22954 y CVE-2022-22960 por separado y en combinación para obtener "control completo del sistema."Los defectos revelados en abril impactan los mismos productos que los afectados por la divulgación de hoy.
Un equipo de respuesta a incidentes de la CISA ya está trabajando en una "gran organización donde los actores de amenaza explotaron CVE-2022-22954", establece el asesor de la agencia..Se han detectado indicadores de explotación y compromiso "en otras grandes organizaciones de terceros de confianza."
VMware’s FAQ about today’s disclosure asks, “Why is there a second VMSA for these software components?"
La respuesta de VMware establece:
When a security researcher finds a vulnerability it often draws the attention of other security researchers, who bring different perspectives and experience to the research. VMware recognizes that additional patches are inconvenient for IT staff, but we balance that concern with a commitment to transparency, keeping our customers informed and ahead of potential attacks.Sin embargo, como sugiere el consejo de la CISA, los clientes de VMware no se están adelantando a estos ataques.En cambio, están en una cinta de correr de parche.®
Get our Tech Resources