VMware heeft patches uitgegeven om te bevatten: twee beveiligingsfouten gevolgen hebben voor Workspace ONE Access, Identity Manager en vRealize Automation die kunnen worden misbruikt om bedrijfsnetwerken te backdoor.
De eerste van de twee fouten, bijgehouden als CVE-2022-22972 (CVSS-score: 9,8), betreft een authenticatie-bypass die een actor met netwerktoegang tot de UI in staat zou kunnen stellen om administratieve toegang te krijgen zonder voorafgaande authenticatie.
CVE-2022-22973 (CVSS-score: 7,8), de andere bug, is een geval van lokale escalatie van bevoegdheden die een aanvaller met lokale toegang in staat zou kunnen stellen om bevoegdheden te verhogen naar de “root”-gebruiker op kwetsbare virtuele apparaten.
“Het is uiterst belangrijk dat u snel stappen onderneemt om deze problemen bij on-premises implementaties te patchen of te verminderen”, VMware zei.
De onthulling volgt een waarschuwing van het Amerikaanse Cybersecurity and Infrastructure Agency (CISA) dat Advanced Persistent Threat (APT)-groepen CVE-2022-22954 en CVE-2022-22960 – twee andere VMware-fouten die begin vorige maand zijn verholpen – afzonderlijk en in combinatie misbruiken.
“Een niet-geverifieerde actor met netwerktoegang tot de webinterface gebruikte CVE-2022-22954 om een willekeurig shell-commando uit te voeren als een VMware-gebruiker”, aldus het. “De acteur maakte vervolgens misbruik van CVE-2022-22960 om de rechten van de gebruiker naar root te escaleren. Met root-toegang kon de acteur logs wissen, machtigingen escaleren en lateraal naar andere systemen gaan.”
Bovendien merkte de cyberbeveiligingsautoriteit op dat dreigingsactoren post-exploitatietools zoals de Dingo J-spy webshell in ten minste drie verschillende organisaties hebben ingezet.
IT-beveiligingsbedrijf Barracuda Networks, in een onafhankelijk rapportzei dat het consistente sonderingspogingen in het wild heeft waargenomen voor CVE-2022-22954 en CVE-2022-22960 kort nadat de tekortkomingen op 6 april algemeen bekend werden.
Meer dan driekwart van de IP’s van aanvallers, ongeveer 76%, zou afkomstig zijn uit de VS, gevolgd door het VK (6%), Rusland (6%), Australië (5%), India (2%), Denemarken (1%) en Frankrijk (1%).
Bij sommige van de door het bedrijf geregistreerde uitbuitingspogingen zijn botnet-operators betrokken, waarbij de bedreigingsactoren gebruikmaken van de fouten om varianten van de Mirai distributed denial-of-service (DDoS) malware te implementeren.
De problemen hebben CISA er ook toe aangezet om een noodrichtlijn er bij de agentschappen van de federale civiele uitvoerende macht (FCEB) op aandringen om de updates vóór 23 mei om 17.00 uur EDT toe te passen of de apparaten los te koppelen van hun netwerken.
“CISA verwacht dat dreigingsactoren snel een vermogen ontwikkelen om deze nieuw vrijgegeven kwetsbaarheden in dezelfde getroffen VMware-producten te exploiteren”, aldus het bureau.
De patches komen iets meer dan een maand nadat het bedrijf een update heeft uitgerold om een kritieke beveiligingsfout in zijn Cloud Director-product (CVE-2022-22966) op te lossen, dat kan worden gebruikt om aanvallen op afstand van code uit te voeren.
CISA waarschuwt voor actieve exploitatie van F5 BIG-IP CVE-2022-1388
Niet alleen VMware ligt onder vuur. Het bureau heeft ook een vervolgadvies uitgebracht met betrekking tot de actieve exploitatie van CVE-2022-1388 (CVSS-score: 9,8), een onlangs onthulde fout bij het uitvoeren van externe code die BIG-IP-apparaten treft.
CISA zei het verwacht “wijdverbreide exploitatie van niet-gepatchte F5 BIG-IP-apparaten (meestal met openbaar toegankelijke beheerpoorten of eigen IP’s) in zowel overheids- als particuliere netwerken.”
