Op 18 mei heeft Vmware twee kwetsbaarheden in hun producten gepatcht: CVE-2022-22972 en CVE-2022-22973. Om de ernst van het probleem te benadrukken, heeft het Amerikaanse ministerie van Binnenlandse Veiligheid op dezelfde dag een waarschuwing uitgevaardigd die alle Federal Civilian Executive Branch (FCEB)-agentschappen verplicht deze kwetsbaarheden in hun infrastructuur binnen vijf dagen te verhelpen door patches te installeren, en als dit niet mogelijk is, door VMware-producten van het netwerk van de agentschappen te verwijderen. Het lijkt dan ook verstandig om het voorbeeld van de Amerikaanse overheidsagentschappen te volgen en onmiddellijk patches te installeren.
Om welke kwetsbaarheden gaat het?
De kwetsbaarheden zijn van invloed op vijf producten van het bedrijf: VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation en vRealize Suite Lifecycle Manager.
Vooral de eerste kwetsbaarheid, CVE-2022-22972, met een ernstgraad van 9,8 op de CVSS-schaal, is gevaarlijk. Uitbuiting ervan kan een aanvaller in staat stellen om zonder enige authenticatie beheerdersrechten op het systeem te verkrijgen.
De tweede kwetsbaarheid, CVE-2022-22973, heeft te maken met privilege-escalatie. Om er gebruik van te kunnen maken, moeten aanvallers al enige rechten hebben in het aangevallen systeem, en daarom is de ernstgraad iets lager: 7,8 op de CVSS-schaal. Ook deze bug moet echter serieus worden genomen, omdat aanvallers hierdoor privileges op het systeem kunnen verhogen tot het root-niveau.
Meer informatie is te vinden in de veelgestelde vragen over dit probleem.
De daadwerkelijke ernst van de kwetsbaarheden CVE-2022-22973 en CVE-2022-22972
Noch VMware-, noch CISA-deskundigen zijn op de hoogte van exploitatie van deze kwetsbaarheden in het wild. Er is echter een goede reden voor de waarschuwing van CISA: begin april dichtte VMware verschillende kwetsbaarheden in dezelfde producten, maar slechts 48 uur later begonnen aanvallers deze al uit te buiten (op servers waar de Vmware-software nog niet was gepatcht). Met andere woorden: de aanvallers hadden toen minder dan twee dagen nodig om exploits te creëren, en het is duidelijk dat men zich zorgen maakt dat dit ook deze keer weer zou kunnen gebeuren.
Bovendien denken CISA-deskundigen dat iemand de twee nieuwe kwetsbaarheden in combinatie met de batch van april (met name CVE 2022-22954 en CVE 2022-22960) zou kunnen gebruiken om geavanceerde gerichte aanvallen uit te voeren. Daarom hebben ze alle federale agentschappen gevraagd om de kwetsbaarheden vóór 17.00 uur EDT op 23 mei 2022 te dichten.
Hoe u voorkomt dat kwetsbaarheden in VMWare-producten worden uitgebuit
VMware raadt aan eerst alle kwetsbare software bij te werken naar ondersteunde versies en pas daarna patches te installeren. U kunt de huidige versies controleren op de VMware LogoProduct Lifecycle Matrix-pagina. Het is raadzaam om vóór de installatie back-ups of snapshots te maken van programma’s die moeten worden bijgewerkt. Patches en installatie-tips vindt u in de VMware Knowledge Base.
Bovendien mag u niet vergeten dat op alle informatiesystemen die toegang hebben tot het internet, betrouwbare beveiligingsoplossingen moeten zijn geïnstalleerd. In het geval van virtuele omgevingen moet er gespecialiseerde bescherming worden gebruikt.
Als extra beschermingslaag is het ook zinvol om oplossingen te gebruiken waarmee u de activiteit binnen de infrastructuur kunt bewaken en tekenen van schadelijke aanwezigheid kunt identificeren voordat aanvallers de tijd krijgen om echte schade aan te richten.