VMware a publié des correctifs pour contenir deux failles de sécurité impactant Workspace ONE Access, Identity Manager et vRealize Automation qui pourraient être exploités pour détourner les réseaux d’entreprise.
La première des deux failles, identifiée comme CVE-2022-22972 (score CVSS : 9,8), concerne un contournement d’authentification qui pourrait permettre à un acteur disposant d’un accès réseau à l’interface utilisateur d’obtenir un accès administratif sans authentification préalable.
CVE-2022-22973 (score CVSS : 7,8), l’autre bogue, est un cas d’élévation de privilèges locaux qui pourrait permettre à un attaquant disposant d’un accès local d’élever les privilèges à l’utilisateur « root » sur les appliances virtuelles vulnérables.
« Il est extrêmement important que vous preniez rapidement des mesures pour corriger ou atténuer ces problèmes dans les déploiements sur site », explique VMware. mentionné.
La divulgation fait suite à une avertissement de la Cybersecurity and Infrastructure Agency (CISA) des États-Unis selon laquelle des groupes de menaces persistantes avancées (APT) exploitent CVE-2022-22954 et CVE-2022-22960 – deux autres failles VMware qui ont été corrigées au début du mois dernier – séparément et en combinaison.
« Un acteur non authentifié avec un accès réseau à l’interface Web a exploité CVE-2022-22954 pour exécuter une commande shell arbitraire en tant qu’utilisateur VMware », a-t-il déclaré. « L’acteur a ensuite exploité CVE-2022-22960 pour élever les privilèges de l’utilisateur à root. Avec un accès root, l’acteur pourrait effacer les journaux, escalader les autorisations et se déplacer latéralement vers d’autres systèmes. »
En plus de cela, l’autorité de cybersécurité a noté que les acteurs de la menace ont déployé des outils de post-exploitation tels que le shell Web Dingo J-spy dans au moins trois organisations différentes.
La société de sécurité informatique Barracuda Networks, dans un rapport indépendanta déclaré avoir observé des tentatives de sondage cohérentes dans la nature pour CVE-2022-22954 et CVE-2022-22960 peu de temps après que les lacunes ont été rendues publiques le 6 avril.
Plus des trois quarts des adresses IP des attaquants, soit environ 76 %, proviendraient des États-Unis, suivis du Royaume-Uni (6 %), de la Russie (6 %), de l’Australie (5 %), de l’Inde (2 %), Danemark (1 %) et France (1 %).
Certaines des tentatives d’exploitation enregistrées par la société impliquent des opérateurs de botnet, les acteurs de la menace tirant parti des failles pour déployer des variantes du logiciel malveillant de déni de service distribué Mirai (DDoS).
Les problèmes ont également incité la CISA à émettre une directive d’urgence exhortant les agences de la branche exécutive civile fédérale (FCEB) à appliquer les mises à jour avant 17 h HAE le 23 mai ou à déconnecter les appareils de leurs réseaux.
« La CISA s’attend à ce que les acteurs de la menace développent rapidement une capacité à exploiter ces vulnérabilités nouvellement publiées dans les mêmes produits VMware concernés », a déclaré l’agence.
Les correctifs arrivent un peu plus d’un mois après que la société a déployé une mise à jour pour résoudre une faille de sécurité critique dans son produit Cloud Director (CVE-2022-22966) qui pourrait être armée pour lancer des attaques d’exécution de code à distance.
CISA met en garde contre l’exploitation active de F5 BIG-IP CVE-2022-1388
Il n’y a pas que VMware qui est sous le feu. L’agence a également publié un avis de suivi concernant l’exploitation active de CVE-2022-1388 (score CVSS : 9,8), une faille d’exécution de code à distance récemment révélée affectant les appareils BIG-IP.
CISA mentionné il s’attend à « voir une exploitation généralisée des appareils F5 BIG-IP non corrigés (principalement avec des ports de gestion exposés publiquement ou des adresses IP autonomes) dans les réseaux gouvernementaux et privés ».