VMware, dostawca rozwiązań wirtualizacyjnych i chmurowych, ujawnił w tym tygodniu osiem luk w zabezpieczeniach pięciu swoich produktów i wezwał użytkowników Workspace ONE Access oraz wszystkich produktów komponenty VMware Identity Manager, do natychmiastowego załatania podatności.

Trzy z tych luk otrzymały ocenę krytyczną w skali CVSSv3 - dwie z nich umożliwiają zdalne wykonanie kodu, a trzecia pozwala na obejście systemów uwierzytelniania użytkowników firmy VMware w celu wykonania nieautoryzowanych operacji.

Zobacz również:

• Bezpieczeństwo w chmurze publicznej nadal priorytetowe
• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
• Luka w zabezpieczeniach WordPress

Jeden z krytycznych błędów, CVE-2022-22954, dotyczy wstrzykiwania szablonów po stronie serwera w Workspace ONE Access and Identity Manager jako możliwej metody zdalnego wykonania kodu i wymaga jedynie dostępu do sieci, w której działają te usługi.

Inna luka w Workspace ONE Access, Identity Manager i vRealize Automation, zgłoszona jako CVE-2022-22957 i CVE-2022-22958, pozwala złemu aktorowi z dostępem administracyjnym kontrolować te systemy za pomocą złośliwego URI Java Database Connectivity. Obejście uwierzytelniania użytkowników, oznaczone jako CVE-2022-22955 i CVE-2022-22956, działa poprzez wykorzystanie odsłoniętych punktów końcowych w strukturze uwierzytelniania w Workspace ONE Access.

Według Iana McShane’a, wiceprezesa ds. strategii w firmie Arctic Wolf, luki te są naprawdę poważne i podkreślają pilną potrzebę wprowadzenia poprawek do najbardziej krytycznych luk w zabezpieczeniach. „W każdej firmie kontrola zmian powinna być najlepszą praktyką. Jednak [krytyczne luki w zabezpieczeniach] wymagają natychmiastowych zmian i to właśnie one powinny być wprowadzane bez testowania” - powiedział.

Yaron Tal, założyciel i CTO firmy Reposify, izraelskiego startupu specjalizującego się w ocenach zagrożeń bezpieczeństwa opartych na sztucznej inteligencji, powiedział, że luki w zabezpieczeniach polegające na zdalnym wykonywaniu kodu zasadniczo pozwalają zagrożeniom „szaleć" w zagrożonych systemach, wykradając dane uwierzytelniające, dane wrażliwe i rozprzestrzeniając złośliwe oprogramowanie. „Dzięki [zdalnemu wykonywaniu kodu], nieuprzywilejowany kod zewnętrzny może zostać zdalnie uruchomiony na każdej podatnej na ataki maszynie w sieci. Hakerzy mogą zdalnie przeprowadzać ataki z niszczycielskim skutkiem. Żaden atak nie jest wykluczony - dane mogą zostać utracone lub skradzione, komunikacja może zostać przekierowana do zdalnej lokalizacji, dane firmowe skopiowane na prywatne dyski, a reputacja firmy może zostać nadszarpnięta przez jednoznaczne treści. Wszystkie te możliwości są bardzo realne i uzasadnione”- komentuje.

Według McShane’a, natychmiastowe wprowadzenie poprawek może być trudne dla niektórych firm, zwłaszcza tych, które mają umowy o poziomie usług i kontraktowe zobowiązania dotyczące określonego poziomu czasu pracy, ponieważ mogą one być zmuszone do ponownego uruchomienia lub zrestartowania dotkniętych systemów w celu wprowadzenia poprawek. „Każda organizacja ma inne środowisko i inne potrzeby” - powiedział.

Tal zgodził się, że poprawki mają natychmiastowe znaczenie, i zauważył, że będzie to prawdopodobnie niedogodność dla klientów VMware. „Nie znamy szczegółowo mechanizmu łatania, ale możemy z całą pewnością stwierdzić, że systemy zarządzania dostępem muszą być włączone 24 godziny na dobę, 7 dni w tygodniu, a łatki nie mogą być zastosowane bez wyłączenia systemu” - powiedział. "Łatki są zwykle aplikowane w określonych okresach (np. w czasie świąt Bożego Narodzenia czy Dziękczynienia), kiedy środowisko pracy jest spokojne, aby maksymalnie skrócić czas przestoju".

Firma VMware przypisała odkrycie dziur Stevenowi Seeleyowi z Qihoo 360 Vulnerability Research Institute.

Źródło: CSO