Af Eskil Sørensen, 19/05/22
Det amerikanske CISA har udsendt en ’alert’, der beordrer føderale myndigheder at håndtere en række udnyttede sårbarheder i VMware-produkter. Konkret drejer det sig om VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, vRealize Suite Lifecycle Manager.
Advarslen er refereret i en række artikler i diverse medier, men udførligt beskrevet på CISAs hjemmeside.
Dekretet kommer med en advarsel om, at trusselsaktører er i gang med kombinationsudnyttelse af sårbarhederne, hvorved der kan opnås fuld systemkontrol. Konkret drejer det sig om sårbarhederne CVE-2022-22954 og CVE-2022-22960, som blev offentligt kendt den 6 april i år, da VMware sendte opdateringer ud. Men, som det oftest sker, går trusselsaktører straks i gang med at udvikle exploits ved hjælp af reverse engineering. I dette tilfælde tog det angiveligt kun 48 timer før exploitet var ude og udnyttelser igangsat.
CISA skriver i sin alert, at organisationen blev gjort opmærksom på problemet den 14. og 15. april, hvor de to sårbarheder blev føjet til kataloget over kendte udnyttede sårbarheder, det såkaldte Known Exploited Vulnaerabilies-catalog. Heri fremgår det, at føderale myndigheder skal håndtere sårbarhederne senest 5. og 6. maj.
Baseret på viden om trusselsaktørernes evner til at udvikle exploits forventer CISA, at yderligere to sårbarheder i VMware-produkter (CVE-2022-22972 og CVE-2022-22973) også vil blive genstand for udnyttelser.
DKCERT har udsendt et varsel til universiteterne om sårbarhederne.
Links:
https://www.cisa.gov/uscert/ncas/alerts/aa22-138b
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/18/cisa-issues-emergency-directive-and-releases-advisory-related
https://www.vmware.com/security/advisories/VMSA-2022-0014.html
https://www.bleepingcomputer.com/news/security/dhs-orders-federal-agencies-to-patch-vmware-bugs-within-5-days/
https://therecord.media/cisa-issues-directive-for-exploited-vmware-bug-after-ir-team-deployed-to-large-org/
https://www.darkreading.com/attacks-breaches/cisa-patching-new-vmware-bugs-is-a-full-on-emergency
https://www.itnews.com.au/news/us-orders-federal-agencies-to-update-or-remove-some-vmware-products-580191
https://www.theregister.com/2022/05/19/vmware_cisa_security_risks/