VMware e gli esperti stanno esortando gli utenti a correggere più prodotti interessati da una vulnerabilità critica di bypass dell'autenticazione che può consentire a un utente malintenzionato di ottenere l'accesso amministrativo a un sistema e sfruttare altri difetti.
Il bug, tracciato come CVE-2022-31656, ha ottenuto un punteggio di 9,8 sul CVSS ed è una delle numerose correzioni che la società ha apportato in vari prodotti in un aggiornamento rilasciato martedì per difetti che potrebbero facilmente diventare una catena di exploit, hanno detto i ricercatori.
CVE-2022-31656 è anche certamente la più pericolosa di queste vulnerabilità, e probabilmente lo diventerà ancora di più poiché il ricercatore che l'ha scoperto – Petrus Viet di VNG Security – ha promesso in un tweet che un exploit proof-of-concept per il bug è "presto a seguire", hanno detto gli esperti.
Ciò aggiunge urgenza alla necessità per le organizzazioni colpite dal difetto di rattoppare ora, hanno detto i ricercatori.
"Data la prevalenza di attacchi mirati alle vulnerabilità VMware e un prossimo proof-of-concept, le organizzazioni devono rendere l'applicazione di patch CVE-2022-31656 una priorità", ha dichiarato Claire Tillis, senior research engineer del Security Response Team di Tenable, in una e-mail a Threatpost. "Come bypass di autenticazione, lo sfruttamento di questo difetto apre la possibilità che gli aggressori possano creare catene di exploit molto preoccupanti".
Potenziale per la catena di attacco
In particolare, CVE-2022-31656 è una vulnerabilità di bypass dell'autenticazione che interessa VMware Workspace ONE Access, Identity Manager e vRealize Automation.
Il bug colpisce gli utenti del dominio locale e richiede che un utente malintenzionato remoto abbia accesso alla rete a un'interfaccia utente vulnerabile, secondo un post sul blog di Tillis pubblicato martedì. Una volta che un utente malintenzionato raggiunge questo obiettivo, può utilizzare il difetto per aggirare l'autenticazione e ottenere l'accesso amministrativo, ha detto.
Inoltre, la vulnerabilità è il gateway per sfruttare altri difetti di esecuzione di codice remoto (RCE) risolti dal rilascio di VMWare questa settimana – CVE-2022-31658 e CVE-2022-31659 – per formare una catena di attacco, ha osservato Tillis.
CVE-2022-31658 è una vulnerabilità di RCE di iniezione JDBC che interessa VMware Workspace ONE Access, Identity Manager e vRealize Automation che ha ottenuto un punteggio "importante" su CVSS—8.0. Il difetto consente a un attore malintenzionato con accesso all'amministratore e alla rete di attivare RCE.
CVE-2022-31659 è una vulnerabilità RCE SQL injection che interessa VMware Workspace ONE Access and Identity Manager e ha anche ottenuto una classificazione di 8,0 con un vettore di attacco simile a CVE-2022-31658. A Viet è attribuito il merito di aver scoperto entrambi questi difetti.
Gli altri sei bug corretti nell'aggiornamento includono un altro bug RCE (CVE-2022-31665) classificato come importante; due vulnerabilità di escalation dei privilegi (CVE-2022-31660 e CVE-2022-31661) classificate come importanti; una vulnerabilità legata all'escalation dei privilegi locali (CVE-2022-31664) classificata come importante; una vulnerabilità legata all'inserimento di URL (CVE-2022-31657) classificata come moderata; e una vulnerabilità legata all'attraversamento del percorso (CVE-2022-31662) classificata come moderata.
Patch anticipata, patch tutto
VMware non è estranea a dover pubblicare in fretta le patch per i bug critici trovati nei suoi prodotti e ha subito la sua quota di problemi di sicurezza a causa dell'ubiquità della sua piattaforma sulle reti aziendali.
Alla fine di giugno, ad esempio, le agenzie federali hanno avvertito degli aggressori che colpivano i server VMware Horizon e Unified Access Gateway (UAG) per sfruttare l'ormai famigerata vulnerabilità Log4Shell RCE, un difetto facile da sfruttare scoperto nella libreria di registrazione Apache Log4J alla fine dello scorso anno e continuamente preso di mira su VMware e altre piattaforme da allora.
In effetti, a volte anche le patch non sono ancora state sufficienti per VMware, con gli aggressori che prendono di mira i difetti esistenti dopo che l'azienda ha fatto la sua due diligence per rilasciare una correzione.
Questo scenario si è verificato a dicembre 2020, quando i federali hanno avvertito che gli avversari stavano attivamente sfruttando un bug vecchio di settimane nei prodotti Workspace One Access e Identity Manager tre giorni dopo che il fornitore aveva corretto la vulnerabilità.
Sebbene tutti i segnali indichino l'urgenza di correggere l'ultima minaccia alla piattaforma VMware, è molto probabile che anche se il consiglio viene ascoltato, il pericolo persisterà per il prossimo futuro, ha osservato un professionista della sicurezza.
Sebbene le aziende tendano inizialmente a muoversi rapidamente per correggere le minacce più imminenti alla loro rete, spesso perdono altri luoghi in cui gli aggressori possono sfruttare un difetto, ha osservato Greg Fitzgerald, co-fondatore di Sevco Security, in una e-mail a Threatpost. Questo è ciò che porta ad attacchi persistenti e continui, ha detto.
"Il rischio più significativo per le aziende non è la velocità con cui stanno applicando le patch critiche; deriva dal non applicare le patch su ogni risorsa", ha detto Fitzgerald. "Il semplice fatto è che la maggior parte delle organizzazioni non riesce a mantenere un inventario aggiornato e accurato delle risorse IT e l'approccio più meticoloso alla gestione delle patch non può garantire che tutte le risorse aziendali siano prese in considerazione".