Alvarlegir veikleikar í VMWare hugbúnaði

7. apríl 2022

VMWare hefur gefið út tilkynningu [1] um alvarlega veikleika í hugbúnaði frá þeim. Um er að ræða hugbúnaðinn:

VMware Workspace ONE Access (Access)
VMware Identity Manager (vIDM)
VMware vRealize Automation (vRA)

og einnig vöruflokkana (e. product portfolios) sem innihalda hugbúnaðinn sem er tilgreindur að ofan:

VMware Cloud Foundation
vRealize Suite Lifecycle Manager

Um er að ræða alvarlega veikleika sem er meðal annars hægt að misnota til að keyra hugbúnað sem kerfisstjóri (e. RCE) með alvarleikastig á bilinu 5.3 til 9.8. Samkvæmt grein hjá Bleeping Computer [3] þá er ekki vitað af því að veikleikarnir séu þegar misnotaðir (e. exploited in the wild).

VMWare hefur gefið út uppfærslur sem lagfæra veikleikana og einnig upplýsingar um mögulegar  mótvægisaðgerðir (e. mitigation options) en þær aðgerðir eru á kostnað virkni í hugbúnaðinum.

Veikleikarnir eru eftirfarandi:

- Server Page Template Injection Remote Code Execution Vulnerability
  CVE-2022-22954) - CVSSv3: 9.8
  Á við hugbúnaðinn 'VMWare Workspace ONE Access' og 'VMWare Identity Manager'

- OAuth2 ACS Authentication Bypass Vulnerabilities
  CVE-2022-22955, CVE-2022-22956) - CVSSv3: 9.8
  Á við hugbúnaðinn 'VMWare Workspace ONE Access'

- JDBC Injection Remote Code Execution Vulnerabilities
  CVE-2022-22957, CVE-2022-22958) - CVSSv3: 9.1
  Á við hugbúnaðinn 'VMware Workspace ONE Access', 'VMWare Identity Manager' og 'VMWare vRealize Automation'

- Cross Site Request Forgery Vulnerability
  CVE-2022-22959) - CVSSv3: 8.8
  Á við hugbúnaðinn 'VMware Workspace ONE Access', 'VMWare Identity Manager' og 'VMWare vRealize Automation'

- Local Privilege Escalation Vulnerability
  CVE-2022-22960) - CVSSv3: 7.8
  Á við hugbúnaðinn 'VMware Workspace ONE Access', 'VMWare Identity Manager' og 'VMWare vRealize Automation'

- Information Disclosure Vulnerability
  CVE-2022-22961) - CVSSv3: 5.3
  Á við hugbúnaðinn 'VMware Workspace ONE Access', 'VMWare Identity Manager' og 'VMWare vRealize Automation'

Frekari upplýsingar koma fram í tilkynningu frá VMWare [1] og í grein með spurningum og svörum (e. Q&A) varðandi veikleikana [2].

CERT-IS mælir með að uppfæra án tafa eða virkja mótvægisaðgerðir í samræmi við þá uppfærsluferla sem eru viðhafðir.


Tilvísanir:
[1] https://www.vmware.com/security/advisories/VMSA-2022-0011.html
[2] https://via.vmw.com/vmsa-2022-0011-qna
[3] https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-vulnerabilities-in-multiple-products/

Til baka