A Agência de Segurança Cibernética e Infraestrutura (CISA) do Tio Sam emitiu dois alertas em um único dia para os usuários do VMware, pois acredita que os produtos da gigante da virtualização podem ser explorados por criminosos para obter o controle dos sistemas.
A agência classifica essa ameaça como suficientemente séria para exigir que as agências do governo dos EUA desliguem seus produtos VMware se os patches não puderem ser aplicados.
Dos dois avisos, um destaca uma vulnerabilidade crítica de bypass de autenticação – CVE-2022-22972, classificado com 9,8 de 10 na escala CVSS – que a VMware revelou na quarta-feira.
A falha afeta cinco produtos: Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, vRealize Suite Lifecycle Manager e VMware Cloud Foundation. Somos informados de que "um ator mal-intencionado com acesso à rede para a interface do usuário pode obter acesso administrativo sem a necessidade de autenticação".
A vulnerabilidade no Cloud Foundation é assustadora, pois esse produto é a ferramenta da VMware para criar e gerenciar plataformas híbridas de várias nuvens que executam máquinas virtuais e contêineres. Isso significa que um usuário não autorizado pode obter privilégios de nível de administrador e conduzir esses recursos no local e, potencialmente, também em nuvens públicas com tecnologia VMware, das quais existem mais de 4.000 executadas por parceiros VMware, além de parcerias com AWS, Microsoft, Google, Oracle, IBM Cloud e Alibaba Cloud.
O impacto nos outros produtos também é significativo, pois o controle de acesso do Identity Manager e do Workspace ONE pode conceder acesso a aplicativos e serviços SaaS por meio das ferramentas de publicação de aplicativos da VMware, enquanto o vRealize possui ampla capacidade de automação que pode abranger muitos aspectos da nuvem híbrida operações.
Uma segunda falha, CVE-2022-22973, também revelada na quarta-feira, permite que invasores se tornem root no VMware Workspace ONE Access e no VMware Identity Manager. A falha é avaliada em 7,8 em 10.
A ameaça representada pelas duas falhas de segurança é tão significativa que a CISA emitiu uma diretiva de emergência exigindo que as agências governamentais civis dos EUA retirem da produção quaisquer implementações expostas na Internet dos softwares vulneráveis da Virtzilla até 23 de maio, pois devem ser consideradas comprometidas. As agências governamentais dos EUA também devem enumerar todos os usos dos produtos afetados e corrigi-los dentro do mesmo prazo. Se o patching não for possível, a CISA deseja que os produtos sejam removidos das redes de agências, sejam eles voltados para a Internet ou não.
O VMware é amplamente utilizado por agências governamentais dos EUA. Se seus produtos forem desligados, provavelmente ocorrerão consideráveis interrupções de produtividade e de serviço.
O outro aviso da CISA aos usuários da VMware diz respeito às falhas que a gigante de TI revelou no início de abril de 2022. A agência de segurança cibernética diz que os invasores que considera provavelmente agentes de ameaças persistentes avançadas estão explorando CVE-2022-22954 e CVE-2022-22960 separadamente e em combinação para obter “controle total do sistema”. As falhas divulgadas em abril impactam os mesmos produtos atingidos pela divulgação de hoje.
Uma equipe de resposta a incidentes da CISA já está trabalhando em uma “grande organização onde os agentes de ameaças exploraram o CVE-2022-22954”, afirma o consultor da agência. Indicadores de exploração e comprometimento foram detectados “em várias outras grandes organizações de terceiros confiáveis”.
As perguntas frequentes da VMware sobre a divulgação de hoje perguntam: "Por que existe um segundo VMSA para esses componentes de software?"
A resposta da VMware declara:
Quando um pesquisador de segurança encontra uma vulnerabilidade, muitas vezes chama a atenção de outros pesquisadores de segurança, que trazem diferentes perspectivas e experiências para a pesquisa. A VMware reconhece que patches adicionais são inconvenientes para a equipe de TI, mas equilibramos essa preocupação com um compromisso com a transparência, mantendo nossos clientes informados e à frente de possíveis ataques.No entanto, como sugere o conselho da CISA, os clientes da VMware não estão se antecipando a isso ataques. Em vez disso, eles estão em uma esteira de remendos. ®
Obtenha nossos recursos técnicos