A VMware e os especialistas estão encorajando os usuários a corrigir diversos produtos afetados por uma vulnerabilidade crítica de bypass de autenticação, a qual pode possibilitar que um invasor consiga acesso administrativo a um sistema, assim como explorar outras vulnerabilidades.
O problema, identificado como CVE-2022-31656, recebeu uma pontuação de 9.8 no CVSS e é apenas um dos diversos problemas corrigidos pela empresa em diversos produtos durante uma atualização lançada na terça-feira. Os pesquisadores afirmaram que essas correções visavam evitar que falhas potenciais se transformassem em uma série de explorações.
CVE-2022-31656 é considerado o mais perigoso dentre essas vulnerabilidades, e pode se tornar ainda mais perigoso, conforme indicado pelo pesquisador Petrus Viet, da VNG Security, que mencionou em um tweet que um exploit de prova de conceito para a falha é algo a ser observado, de acordo com especialistas.
Isso ressalta a importância de as organizações afetadas pela falha corrigirem imediatamente, conforme destacado pelos pesquisadores.
“Devido ao aumento de ataques que exploram falhas de segurança na VMware e a iminência de uma prova de conceito, é essencial que as empresas priorizem a resolução do CVE-2022-31656”, afirmou Claire Tills, engenheira sênior de pesquisa da Tenable, em comunicação por e-mail com o Threatpost. “Por se tratar de um método de bypass de autenticação, a exploração dessa vulnerabilidade pode permitir que invasores criem cadeias de exploração com consequências muito preocupantes.”
Capacidade para a Ocorrência de uma Sequência de Ataques.
Em particular, a CVE-2022-31656 é uma vulnerabilidade de contorno de autenticação que impacta o VMware Workspace ONE Access, Identity Manager e vRealize Automation.
O erro impacta os utilizadores de domínio local e requer que um invasor remoto tenha acesso à rede a partir de uma interface de usuário vulnerável, conforme indicado em uma postagem de blog da Tills divulgada na terça-feira. Quando um invasor consegue realizar essa ação, ele ou ela pode utilizar a falha para contornar a autenticação e obter acesso administrativo, afirmou a publicação.
Adicionalmente, a fragilidade serve como ponto de entrada para explorar outras vulnerabilidades de execução de código remoto (RCE) mencionadas na atualização da VMWare desta semana, identificadas como CVE-2022-31658 e CVE-2022-31659, com o objetivo de criar um sequência de ataques, conforme observado por Tills.
A vulnerabilidade CVE-2022-31658, classificada como “importante” no CVSS com pontuação 8.0, é uma vulnerabilidade de RCE de injeção JDBC que impacta o VMware Workspace ONE Access, Identity Manager e vRealize Automation. Essa falha possibilita que um indivíduo mal-intencionado, com privilégios de administrador e acesso à rede, acione RCE.
A vulnerabilidade CVE-2022-31659 é um tipo de vulnerabilidade de injeção SQL que permite a execução remota de código (RCE) e impacta o VMware Workspace ONE Access e Identity Manager. Ela recebeu uma classificação de 8.0 e compartilha um vetor de ataque semelhante ao CVE-2022-31658. Viet foi o responsável por descobrir essas duas falhas.
Os restantes seis problemas corrigidos na atualização incluem mais um bug RCE (CVE-2022-31665) considerado significativo; duas vulnerabilidades de aumento de privilégios (CVE-2022-31660 e CVE-2022-31661) avaliadas como importantes; uma vulnerabilidade de aumento de privilégio local (CVE-2022-31664) classificada como importante; uma vulnerabilidade de injeção de URL (CVE-2022-31657) considerada moderada; e um caminho de transição.
Atualize o software o mais cedo possível, atualize todos os programas.
A VMware está familiarizada com a necessidade de aplicar correções para falhas críticas identificadas em seus produtos e já enfrentou desafios de segurança devido à ampla presença de sua plataforma em ambientes empresariais.
No final de junho, as agências do governo alertaram sobre a necessidade de atualizar os servidores do VMware Horizon e Unified Access Gateway para corrigir a vulnerabilidade conhecida como Log4Shell RCE, uma falha de segurança descoberta no Apache Log4J no final do ano passado e que tem sido alvo de ataques na VMware e em outras plataformas desde então.
Na realidade, em algumas situações o patch lançado pela VMware não foi eficaz o bastante, pois os hackers exploram vulnerabilidades já existentes após a empresa ter feito sua devida investigação para disponibilizar uma correção.
Este episódio aconteceu em dezembro de 2020, quando autoridades alertaram que os adversários estavam ativamente aproveitando uma falha existente há semanas nos produtos Workspace One Access e Identity Manager, apenas três dias após o fornecedor ter corrigido a vulnerabilidade.
Apesar de ser evidente a necessidade urgente de corrigir a mais recente vulnerabilidade na plataforma da VMware, é muito provável que, mesmo com a implementação das recomendações, o risco permaneça no horizonte previsível, como observado por um especialista em segurança.
Apesar de as empresas agirem rapidamente para corrigir as ameaças imediatas em sua rede, muitas vezes acabam deixando brechas que atacantes locais podem aproveitar, conforme observado por Greg Fitzgerald, co-fundador da Sevco Security, em uma comunicação por e-mail com o Threatpost. Isso resulta em ataques persistentes e em andamento, de acordo com ele.
“De acordo com Fitzgerald, o maior perigo para as empresas não está na rapidez com que aplicam correções críticas, mas sim na falha em aplicar essas correções em todos os ativos. Ele ressalta que muitas organizações não possuem um registro preciso e atualizado de seus ativos de TI e que uma abordagem apressada para o gerenciamento de correções não garante a inclusão de todos os ativos corporativos.”
“Divulgue este artigo.”
- Fragilidades ou pontos fracos.
