Upozorňujeme na sadu 10 zranitelností v komponentech virtualizačního softwaru VMware. Společnost VMware zranitelnosti zveřejnila 2. srpna 2022 a přisuzuje jim dle standardu CVSSv3 skóre v rozmezí od 4.7 po 9.8 (9-10 značí kritickou zranitelnost). U dvou nejzávažnějších zranitelností byl v nedávné době zveřejněn Proof of Concept (PoC), dokazující možný authentication bypass. Útočník se síťovým přístupem k uživatelskému rozhraní tedy může zneužitím těchto zranitelností získat administrativní přístup bez nutnosti procesu autentizace.
Identifikátory (CVSSv3 skóre): CVE-2022-31656 (9.8), CVE-2022-31657 (9.8), CVE-2022-31658 (7.2), CVE-2022-31659 (7.2), CVE-2022-31660 (7.8), CVE-2022-31661 (7.8), CVE-2022-31662 (7.5), CVE-2022-31663 (6.1), CVE-2022-31664 (7.8), CVE-2022-31665 (7.4)
Zasaženy jsou všechny produkty uvedené níže. Dále i ty, které nabízely Workspace ONE Access nebo VMware Identity Manager (vIDM) jako volitelnou komponentu k instalaci.
- VMware Workspace ONE Access (Access)
- VMware Workspace ONE Access Connector (Access Connector)
- VMware Identity Manager (vIDM)
- VMware Identity Manager Connector (vIDM Connector)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
Druhá sada čtyř zranitelností byla zveřejněna 9. srpna 2022 a týká se platformy VMware vRealize Operations. VMware odhaduje, že závažnost zranitelností bude přibližně 7.2 podle CVSSv3 standardu. Zranitelnosti útočníkovi umožňují eskalaci administrátorských oprávnění na root. I k těmto zranitelnostem existuje veřejně dostupný PoC. S přihlédnutím k nízké komplexitě útoku lze očekávat prudký nárůst zneužívání těchto zranitelností.
Identifikátory (CVSSv3 skóre zatím nebylo přiděleno): CVE-2022-31672, CVE-2022-31673, CVE-2022-31674, CVE-2022-31675
Doporučení: Výrazně doporučujeme bezodkladnou aktualizaci všech komponent na nejnovější verzi (včetně VMware Vrealize Operations na verzi 8.6.4.). Detailnější tabulku verzí a podrobnější instrukce k aktualizaci naleznete zde: https://kb.vmware.com/s/article/89096.
Zdroje:
https://www.vmware.com/security/advisories/VMSA-2022-0021.html
https://core.vmware.com/vmsa-2022-0021-questions-answers-faq#sec21458-sub6
https://www.vmware.com/security/advisories/VMSA-2022-0022.html