VMware hat Patches veröffentlicht, um zwei Sicherheitslücken in Workspace ONE Access, Identity Manager und vRealize Automation zu schließen, die ausgenutzt werden können, um Unternehmensnetzwerke zu knacken.
Die erste der beiden Schwachstellen mit der Bezeichnung CVE-2022-22972 (CVSS-Score: 9.8) betrifft eine Authentifizierungsumgehung, die es einem Akteur mit Netzwerkzugriff auf die Benutzeroberfläche ermöglichen könnte, ohne vorherige Authentifizierung administrativen Zugriff zu erhalten.
CVE-2022-22973 (CVSS-Score: 7.8), der andere Fehler, ist ein Fall von lokaler Privilegienerweiterung, die es einem Angreifer mit lokalem Zugriff ermöglichen könnte, die Privilegien auf verwundbaren virtuellen Appliances auf den Benutzer „root“ zu erhöhen.
„Es ist äußerst wichtig, dass du schnell Maßnahmen ergreifst, um diese Probleme in lokalen Installationen zu beheben oder zu entschärfen“, so VMware.
Die Veröffentlichung folgt auf eine Warnung der U.S. Cybersecurity and Infrastructure Agency (CISA), dass APT-Gruppen (Advanced Persistent Threats) CVE-2022-22954 und CVE-2022-22960 – zwei weitere VMware-Schwachstellen, die Anfang letzten Monats behoben wurden – einzeln und in Kombination ausnutzen.
„Ein nicht authentifizierter Akteur mit Netzwerkzugriff auf die Weboberfläche nutzte CVE-2022-22954 aus, um einen beliebigen Shell-Befehl als VMware-Benutzer auszuführen“, hieß es. „Der Täter nutzte dann CVE-2022-22960 aus, um die Rechte des Benutzers auf Root zu erweitern. Mit dem Root-Zugang konnte der Täter Protokolle löschen, Berechtigungen ausweiten und seitlich auf andere Systeme zugreifen.
Darüber hinaus stellte die Cybersicherheitsbehörde fest, dass Bedrohungsakteure in mindestens drei verschiedenen Organisationen Post-Exploitation-Tools wie die Dingo J-Spy Web Shell eingesetzt haben.
Das IT-Sicherheitsunternehmen Barracuda Networks erklärte in einem unabhängigen Bericht, dass es kurz nach Bekanntwerden der Schwachstellen am 6. April immer wieder Sondierungsversuche für CVE-2022-22954 und CVE-2022-22960 in freier Wildbahn beobachtet hat.
Mehr als drei Viertel der Angreifer-IPs, etwa 76%, sollen aus den USA stammen, gefolgt von Großbritannien (6%), Russland (6%), Australien (5%), Indien (2%), Dänemark (1%) und Frankreich (1%).
Einige der vom Unternehmen aufgezeichneten Angriffsversuche gehen auf das Konto von Botnetzbetreibern, die die Schwachstellen ausnutzen, um Varianten der DDoS-Malware (Distributed Denial-of-Service) Mirai einzusetzen.
Die Probleme haben die CISA auch dazu veranlasst, eine Notfallanweisung herauszugeben, in der die Bundesbehörden der zivilen Exekutive (FCEB) aufgefordert werden, die Updates bis zum 23. Mai um 17 Uhr EDT zu installieren oder die Geräte von ihren Netzwerken zu trennen.
„Die CISA geht davon aus, dass Bedrohungsakteure schnell eine Möglichkeit entwickeln werden, diese neu veröffentlichten Schwachstellen in den betroffenen VMware-Produkten auszunutzen“, so die Behörde.
Die Patches kommen etwas mehr als einen Monat, nachdem das Unternehmen ein Update veröffentlicht hat, um eine kritische Sicherheitslücke in seinem Cloud Director-Produkt (CVE-2022-22966) zu beheben, die für Angriffe mit entfernter Codeausführung missbraucht werden kann.
CISA warnt vor aktiver Ausnutzung von F5 BIG-IP CVE-2022-1388
Nicht nur VMware steht unter Beschuss. Die Behörde hat auch einen weiteren Hinweis auf die aktive Ausnutzung von CVE-2022-1388 (CVSS-Score: 9.8) veröffentlicht, einer kürzlich bekannt gewordenen Schwachstelle für Remotecodeausführung, die BIG-IP-Geräte betrifft.
Die CISA geht davon aus, dass „ungepatchte F5 BIG-IP-Geräte (meist mit öffentlich zugänglichen Management-Ports oder Self-IPs) sowohl in staatlichen als auch in privaten Netzwerken in großem Umfang ausgenutzt werden“.