VMware ha emitido parches para contener dos fallas de seguridad impactando Workspace ONE Access, Identity Manager y vRealize Automation que podrían explotarse en redes empresariales de puerta trasera.
La primera de las dos fallas, rastreada como CVE-2022-22972 (puntuación CVSS: 9.8), se refiere a una omisión de autenticación que podría permitir que un actor con acceso de red a la interfaz de usuario obtenga acceso administrativo sin autenticación previa.
CVE-2022-22973 (puntaje CVSS: 7.8), el otro error, es un caso de escalada de privilegios locales que podría permitir que un atacante con acceso local eleve los privilegios al usuario “raíz” en dispositivos virtuales vulnerables.
“Es extremadamente importante que tome medidas rápidamente para parchear o mitigar estos problemas en implementaciones locales”, VMware dicho.
La divulgación sigue un advertencia de la Agencia de Infraestructura y Seguridad Cibernética de EE. UU. (CISA) que los grupos de amenazas persistentes avanzadas (APT) están explotando CVE-2022-22954 y CVE-2022-22960, otras dos fallas de VMware que se solucionaron a principios del mes pasado, por separado y en combinación.
“Un actor no autenticado con acceso de red a la interfaz web aprovechó CVE-2022-22954 para ejecutar un comando de shell arbitrario como usuario de VMware”, dijo. “El actor luego explotó CVE-2022-22960 para escalar los privilegios del usuario a la raíz. Con acceso de raíz, el actor podría borrar registros, escalar permisos y moverse lateralmente a otros sistemas”.
Además de eso, la autoridad de seguridad cibernética señaló que los actores de amenazas han implementado herramientas posteriores a la explotación, como el shell web Dingo J-spy en al menos tres organizaciones diferentes.
La empresa de seguridad informática Barracuda Networks, en un informe independientedijo que ha observado intentos de sondeo constantes en la naturaleza para CVE-2022-22954 y CVE-2022-22960 poco después de que las deficiencias se hicieran públicas el 6 de abril.
Se dice que más de las tres cuartas partes de las direcciones IP de los atacantes, alrededor del 76 %, se originaron en EE. UU., seguido del Reino Unido (6 %), Rusia (6 %), Australia (5 %), India (2 %). Dinamarca (1%) y Francia (1%).
Algunos de los intentos de explotación registrados por la empresa involucran a operadores de botnets, y los actores de amenazas aprovechan las fallas para implementar variantes del malware de denegación de servicio distribuido (DDoS) de Mirai.
Los problemas también han llevado a CISA a emitir una directiva de emergencia instando a las agencias del poder ejecutivo civil federal (FCEB) a aplicar las actualizaciones antes de las 5 p. m. EDT del 23 de mayo o desconectar los dispositivos de sus redes.
“CISA espera que los actores de amenazas desarrollen rápidamente una capacidad para explotar estas vulnerabilidades recientemente lanzadas en los mismos productos VMware afectados”, dijo la agencia.
Los parches llegan poco más de un mes después de que la compañía lanzara una actualización para resolver una falla de seguridad crítica en su producto Cloud Director (CVE-2022-22966) que podría utilizarse como arma para lanzar ataques de ejecución remota de código.
CISA advierte sobre explotación activa de F5 BIG-IP CVE-2022-1388
No es solo VMware el que está bajo fuego. La agencia también ha publicado un aviso de seguimiento con respecto a la explotación activa de CVE-2022-1388 (puntaje CVSS: 9.8), una falla de ejecución remota de código recientemente revelada que afecta a los dispositivos BIG-IP.
CISA dicho espera “ver una explotación generalizada de dispositivos F5 BIG-IP sin parches (en su mayoría con puertos de administración expuestos públicamente o IP propias) en redes gubernamentales y del sector privado”.
About the Author
