VMware, içermek için yamalar yayınladı iki güvenlik açığı arka kapı kurumsal ağlarında kullanılabilecek Workspace ONE Access, Identity Manager ve vRealize Automation’ı etkiler.
CVE-2022-22972 (CVSS puanı: 9.8) olarak izlenen iki kusurdan ilki, kullanıcı arayüzüne ağ erişimi olan bir aktörün önceden kimlik doğrulaması olmadan yönetici erişimi elde etmesine olanak tanıyan bir kimlik doğrulama atlamasıyla ilgilidir.
Diğer hata olan CVE-2022-22973 (CVSS puanı: 7.8), yerel erişime sahip bir saldırganın savunmasız sanal cihazlarda “kök” kullanıcıya ayrıcalıklar yükseltmesine olanak verebilecek bir yerel ayrıcalık yükseltme durumudur.
VMware, “Şirket içi dağıtımlarda bu sorunları yamalamak veya azaltmak için hızla adımlar atmanız son derece önemlidir.” dedim.
Açıklama şu şekildedir: uyarı ABD Siber Güvenlik ve Altyapı Ajansı’ndan (CISA), gelişmiş kalıcı tehdit (APT) gruplarının CVE-2022-22954 ve CVE-2022-22960 – geçen ayın başlarında düzeltilen diğer iki VMware kusurunu – ayrı ayrı ve birlikte kullandığını bildirdi.
“Web arayüzüne ağ erişimi olan kimliği doğrulanmamış bir aktör, bir VMware kullanıcısı olarak rastgele bir kabuk komutu yürütmek için CVE-2022-22954’ten yararlandı” dedi. “Oyuncu daha sonra kullanıcının ayrıcalıklarını root yetkisine yükseltmek için CVE-2022-22960’tan yararlandı. Kök erişimiyle, oyuncu günlükleri silebilir, izinleri yükseltebilir ve yanal olarak diğer sistemlere geçebilir.”
Bunun da ötesinde, siber güvenlik yetkilisi, tehdit aktörlerinin en az üç farklı kuruluşta Dingo J-casus web kabuğu gibi istismar sonrası araçları kullandığını kaydetti.
BT güvenlik şirketi Barracuda Networks, bağımsız raporeksikliklerin 6 Nisan’da kamuoyuna duyurulmasının hemen ardından CVE-2022-22954 ve CVE-2022-22960 için vahşi ortamda tutarlı araştırma girişimleri gözlemlediğini söyledi.
Saldırgan IP’lerinin dörtte üçünden fazlasının, yaklaşık %76’sının ABD kaynaklı olduğu söyleniyor, onu İngiltere (%6), Rusya (%6), Avustralya (%5), Hindistan (%2), Danimarka (%1) ve Fransa (%1).
Şirket tarafından kaydedilen bazı istismar girişimleri botnet operatörlerini içeriyor ve tehdit aktörleri, Mirai dağıtılmış hizmet reddi (DDoS) kötü amaçlı yazılımının türevlerini dağıtmak için kusurlardan yararlanıyor.
Sorunlar ayrıca CISA’nın bir acil durum direktifi federal sivil yürütme organı (FCEB) kurumlarını güncellemeleri 23 Mayıs saat 17:00 EDT’ye kadar uygulamaya veya cihazların ağlarıyla olan bağlantısını kesmeye çağırıyor.
Ajans, “CISA, tehdit aktörlerinin aynı etkilenen VMware ürünlerinde yeni yayınlanan bu güvenlik açıklarından yararlanma yeteneğini hızla geliştirmelerini bekliyor.” Dedi.
Yamalar, şirketin Cloud Director ürünündeki (CVE-2022-22966) uzaktan kod yürütme saldırılarını başlatmak için silah olarak kullanabilecek kritik bir güvenlik açığını gidermek için bir güncelleme yayınlamasından bir aydan biraz daha uzun bir süre sonra geliyor.
CISA, F5 BIG-IP CVE-2022-1388’in aktif olarak kullanılması konusunda uyardı
Ateş altında olan sadece VMware değil. Ajans ayrıca, BIG-IP cihazlarını etkileyen yakın zamanda açıklanan bir uzaktan kod yürütme kusuru olan CVE-2022-1388’in (CVSS puanı: 9.8) aktif kullanımıyla ilgili bir takip tavsiyesi yayınladı.
CISA dedim “hem devlet hem de özel sektör ağlarında yama uygulanmamış F5 BIG-IP cihazlarının (çoğunlukla kamuya açık yönetim bağlantı noktaları veya kendi IP’leri ile) yaygın bir şekilde kullanılmasını görmeyi umuyor.”
