Badan Keamanan Siber dan Infrastruktur (CISA) AS memperingatkan bahwa perusahaan harus segera menambal atau menghapus produk VMware yang terpengaruh oleh kelemahan kritis yang baru diungkapkan.
Tindakan drastis untuk menghapus produk jika tidak dapat ditambal didasarkan pada eksploitasi masa lalu dari kelemahan VMware internal yang kritis Pengungkapan 48 jam di bawah CISA.
VMware Rabu, 18 Mei membuka Beberapa kerentanan keamanan ada di VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation, dan vRealize Suite Lifecycle Manager.
Lihat: Apakah tepat waktu?Atasan akhirnya sadar akan ancaman keamanan siber
Kerentanan dilacak sebagai CVE-2022-22972 dan CVE-2022-22973, bypass otentikasi dengan skor keparahan 9,8 dari 10 dan kerentanan eskalasi hak istimewa lokal dengan skor masing-masing 7,8.
Penyerang dengan akses jaringan ke antarmuka pengguna admin dapat mengaksesnya tanpa kata sandi, VMware memperingatkan dalam pengumuman.
Patch tersedia, dan VMware mendesak pelanggan untuk segera menerapkannya atau mengurangi masalah, Peringatkan dalam posting blog terpisah “Konsekuensi dari kerentanan ini serius.”
CISA telah memberitahu badan-badan sipil federal AS untuk menambal atau menghapus produk yang terkena dampak segera, karena dua kerentanan VMware dalam produk yang sama (CVE-2022-22954 dan CVE-2022-22960) dieksploitasi secara luas segera pada bulan April.
VMware merilis tambalan untuk mereka pada bulan April, tetapi penyerang dengan cepat merekayasa balik tambalan dan mengikatnya bersama untuk dieksploitasi.
“Aktor siber jahat dapat merekayasa balik pembaruan vendor untuk mengeksploitasi kerentanan dalam waktu 48 jam dan dengan cepat mulai mengeksploitasi kerentanan publik ini di perangkat yang belum ditambal,” kata CISA.
“Berdasarkan aktivitas ini, CISA mengharapkan penyerang siber jahat akan dengan cepat mengembangkan kemampuan untuk mengeksploitasi CVE-2022-22972 dan CVE-2022-22973, yang diungkapkan oleh VMware pada 18 Mei 2022.”
Perusahaan keamanan Rapid7 mengamati eksploitasi aktif 12 April, enam hari setelah VMware merilis patch. Segera setelah itu, beberapa eksploitasi bukti konsep publik digunakan untuk menginstal penambang koin pada sistem yang rentan. Penyerang menautkan CVE-2022-22954 (masalah injeksi template sisi server yang memengaruhi VMware Workspace ONE Access dan Identity Manager) dengan CVE-2022-22960 (bug eskalasi hak istimewa lokal) untuk mengeskalasi ke hak akses root.
CISA mengeluarkan arahan darurat yang mengharuskan agen federal untuk segera menambal kerentanan VMware April, seperti yang terjadi pada kerentanan Apache Log4j “Log4Shell”.
Lihat: Keamanan komputasi awan: Panduan baru bertujuan untuk melindungi data Anda dari serangan siber dan pelanggaran
Departemen Keamanan telah merilis Arahan yang sama ke agen federal untuk kerentanan VMware terbaruyang menyatakan bahwa kekurangan tersebut “menimbulkan risiko yang tidak dapat diterima” bagi badan-badan sipil federal.
“CISA mengharapkan pelaku ancaman untuk dengan cepat mengembangkan kemampuan untuk mengeksploitasi kerentanan yang baru dirilis ini dalam produk VMware yang terkena dampak yang sama. Memanfaatkan kerentanan yang disebutkan di atas memungkinkan penyerang memicu injeksi template sisi server yang dapat menyebabkan eksekusi kode jarak jauh (CVE-2022- 22954 )); tingkatkan hak istimewa ke ‘root’ (CVE-2022-22960 dan CVE-2022-22973); dapatkan akses administratif tanpa otentikasi (CVE-2022-22972),” katanya.
Otoritas keamanan siber di negara lain belum mengeluarkan peringatan tentang kerentanan terbaru VMware. Namun, CISA merekomendasikan agar semua organisasi menambal sistem yang rentan dengan cepat ketika mereka dapat diakses dari Internet. VMware memiliki Mitigasi dirilis untuk beberapa produk yang terpengaruh.