Af Eskil Sørensen, 25/05/22
Proof-of-concept exploitkode er ved at blive offentliggjort for en sårbarhed, der tillader administrativ adgang uden godkendelse i flere VMware-produkter. Det skriver Bleeping Computer, efter at researchere fra sikkerhedsvirksomheden Horizon3 har annonceret, at de har formået at skabe en fungerende proof-of-concept (PoC) udnyttelseskode for CVE-2022-22972 og vil sandsynligvis frigive en teknisk rapport i slutningen af ugen.
Selvom der ikke er offentlig kendskab til angreb ’in the wild’, mener Horizon3 at vide, at angribere måske allerede har udviklet en exploit og er begyndt at bruge den. Dette understøttet af, at researcherne kun brugte en uge på at udvikle koden. Hvis godsindede researchere kan udvikle en kode, så kan ondsindede angribere også, er ræsonnementet.
Sårbarheden er kritisk med en CVSS-score på 9,8. Allerede i sidste uge blev der udgivet en rettelse, der blev fulgt af en advarsel til administratorer om at håndtere sårbarheden med det samme. Alvoren af sårbarheden blevet yderligere fremhævet af CISA i et nøddirektiv.
Fejlen påvirker VMware Workspace ONE Access, Identity Manager og vRealize Automation. Virksomheden advarer om, at angribere med adgang til apparatets grænseflade kan bruge den til at omgå godkendelse for at nå lokale domænebrugere.
Til imødegåelse af sårbarheden anbefaler VMware at deaktivere alle lokale brugere og administratorer, så kun de klargjorte brugere er aktive. Dette er dog kun en løsning, og det mindsker ikke fuldt ud risikoen for, at angribere udnytter CVE-2022-22972.