As agências federais devem relatar à Agência de segurança cibernética e de infraestrutura nos próximos dias o status das vulnerabilidades do produto VMWare que a agência sinalizou em uma diretiva de emergência na quarta-feira.
“O CISA determinou que essas vulnerabilidades representam um risco inaceitável para as agências do Poder Executivo Federal Civil e requerem ação emergencial”, disse a agência, impondo o prazo de segunda-feira, 23 de maio, ao meio-dia para as ações necessárias. “Esta determinação é baseada na exploração confirmada de CVE-2022-22954 e CVE-2022-22960 por agentes de ameaças na natureza, a probabilidade de exploração futura de CVE-2022-22972 e CVE-2022-22973, a prevalência do software afetado na empresa federal e o alto potencial de comprometimento dos sistemas de informação da agência”.
VMWare é uma empresa Dell especializada em tecnologia para computação em nuvem e virtualização de rede. No início deste mês, pesquisadores da empresa de monitoramento contínuo de segurança Assetnote relataram que uma vulnerabilidade no Workspace One [gerenciamento unificado de endpoints] da VMWare poderia ter comprometido as contas de nuvem das empresas.
“Embora eu não possa compartilhar detalhes exatos sobre quais empresas foram afetadas, havia um grande número de empresas vulneráveis a isso”, disse o diretor de tecnologia da Assetnote, Subham Shah, em um comunicado à imprensa em 2 de maio. “Em alguns casos, foi possível usar essa vulnerabilidade para violar as contas da AWS das empresas.”
A diretiva de emergência da CISA quarta-feira instrui as agências a corrigir as vulnerabilidades em todas as instâncias dos produtos VMWare ou desconectá-los dos sistemas da agência. Para quaisquer aplicativos voltados para a Internet, a CISA também instrui as agências a presumir que foram comprometidas, iniciar a busca por ameaças e relatar imediatamente à agência.
A CISA descreveu capacidades esmagadoras que os adversários poderiam alcançar explorando as vulnerabilidades, que não poderiam necessariamente ser mitigadas pela implementação da autenticação multifator, pois visam processos que ocorrem antes desse método de verificação.
“De acordo com relatórios confiáveis de terceiros, os agentes de ameaças podem encadear essas vulnerabilidades. Em uma organização comprometida, por volta de 12 de abril de 2022, um ator não autenticado com acesso à rede para a interface da web aproveitou o CVE-2022-22954 para executar um comando shell arbitrário como um usuário VMware”, disse a CISA em um comunicado que acompanha a diretiva. “O ator então explorou o CVE-2022-22960 para escalar os privilégios do usuário para root. Com acesso root, o ator pode limpar logs, escalar permissões e mover-se lateralmente para outros sistemas.”