A VMware e os peritos têm incitado os usuários a repararem vários artigos acometidos por uma falha de contornar a autenticação crítica que pode possibilitar que um inimigo adquira acesso administrativo a um sistema, bem como aproveitar outras brechas.
O rastreamento do bug, conhecido como CVE-2022-31656, foi avaliado com uma pontuação de 9,8 no CVSS. Foi uma das várias correções feitas pela empresa em uma atualização divulgada na terça-feira, que poderiam dar origem a uma cadeia de exploração fácil, segundo os pesquisadores.
CVE-2022-31656 se destaca como sendo a mais crítica das vulnerabilidades, e provavelmente aumentará ainda mais o seu perigo, devido ao fato de Petrus Viet, da VNG Security, que o descobriu, ter anunciado em um tweet que um exploit de prova de conceito para o bug seria algo a seguir, segundo alguns especialistas.
Esta situação torna essencial que as organizações afetadas pela falha tomem medidas imediatas para corrigi-la, de acordo com o que afirmaram os pesquisadores.
Dado o número elevado de ataques dirigidos às vulnerabilidades da VMware e o próximo teste de viabilidade, as organizações precisam dar atenção ao CVE-2022-31656, disse Claire Tills, engenheiro sênior de pesquisa da Tenable, em um e-mail para o Threatpost. “Como um desvio de autenticação, a exploração deste defeito possibilita que os invasores criem assustadoras cadeias de exploração”, acrescentou.
Possibilidade de exploração em série
Especificamente, a vulnerabilidade CVE-2022-31656 permite contornar a autenticação no VMware Workspace ONE Access, Identity Manager e vRealize Automation.
Os usuários de domínio local são afetados por um bug que requer acesso à rede a uma interface de usuário vulnerável, segundo um post do blog da Tills publicado na terça-feira. Uma vez que isso é alcançado, um invasor tem a possibilidade de ignorar a autenticação e conquistar acesso administrativo, relatou ela.
Além disso, a susceptibilidade é a porta de entrada para investigar outras falhas de execução de código remoto (RCE) discutidas pela versão da VMWare na presente semana – CVE-2021-31658 e CVE-2021-31659 – para dar forma a uma série de ataques, observou Tills.
CVE-2022-31658 é uma falha de injeção JDBC de RCE que tem um nível de gravidade considerado “importante” no CVSS – 8,0. Esta vulnerabilidade afeta o VMware Workspace ONE Access, Identity Manager e vRealize Automation, e permite que um atacante malicioso, com acesso de administrador e rede, execute RCE.
A falha CVE-2022-31659 é uma vulnerabilidade de execução remota de código (RCE) associada a injeção de SQL que afeta o VMware Workspace ONE Access e Identity Manager. Ela foi classificada com 8,0 no vetor de ataque, que é muito semelhante ao CVE-2022-31658. O pesquisador Viet recebeu crédito por descoberta das duas vulnerabilidades.
A atualização corrigiu seis outros erros, entre os quais um RCE (CVE-2022-31665) considerado importante; duas vulnerabilidades de privilégio (CVE-2022-31660 e CVE-2022-31661) classificadas como importantes; uma falha de privilégio local (CVE-2022-31664) catalogada como importante; uma injeção de URL (CVE-2022-31657) avaliada como moderada; e uma vulnerabilidade de transição de diretório (CVE-2022-31662) considerada de baixo risco.
Aplique desde cedo, conserte tudo.
A VMware não é alheia à tarefa de aplicar atualizações para corrigir falhas graves encontradas em seus produtos, e já sentiu os efeitos de vulnerabilidades de segurança em virtude da presença de sua plataforma em redes empresariais.
No último mês de junho, as autoridades federais alertaram aos usuários dos servidores do VMware Horizon e Unified Access Gateway (UAG) para examinar a falha conhecida como Log4Shell RCE. Esta falha foi identificada na biblioteca de log Apache Log4J no final de 2019 e vem sendo explorada na VMware e também em outras plataformas desde então.
De verdade, às vezes até mesmo o conserto não é suficiente para a VMware, com os ofensores direcionando defeitos existentes depois que a companhia faz sua conferência para liberar uma reparação.
Em dezembro do ano passado, os federais alertaram que os inimigos estavam ativamente explorando uma falha detectada havia semanas nos produtos Workspace One Access e Identity Manager apenas três dias depois do vendedor ter reparado a fragilidade.
Apesar de todos os indícios sugerirem que é urgente corrigir a última ameaça à plataforma da VMware, é altamente improvável que, mesmo que a recomendação seja seguida, o risco seja eliminado a longo prazo, observou um especialista em segurança.
Apesar de que as organizações costumam tomar medidas velozes para conter os riscos que afetam diretamente sua rede, Greg Fitzgerald, criador da Sevco Security, destacou em um correio para a Threatpost que elas podem descuidar de ataques de outros indivíduos que aproveitam a vulnerabilidade existente. Com isso, ocorrem ataques persistentes e contínuos, de acordo com ele.
Fitzgerald afirma que o maior perigo para as empresas não está tanto na rapidez na qual elas colocam em prática correções críticas, mas, sim, na falta de aplicação destas correções em todos os seus patrimônios. Ocorre que a maior parte das organizações não mantém um registro atualizado e preciso de seus bens tecnológicos, o que faz com que a abordagem de correções mais rápida não seja suficiente para computar todos os itens corporativos.
Edite e compartilhe este artigo.
- As vulnerabilidades de segurança são fraquezas que podem ser aproveitadas por agressores para fazer com que o sistema seja comprometido.