Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Niente riposo per VMWare (e i suoi utenti)
Estate torrida in tutti i sensi: anche nel mondo della cybersecurity si respira con affanno, e non è per il solo caldo.
Tra i big vendor alle prese con problemi di sicurezza, questa volta tocca a VMWare che ha realizzato una serie di correzioni in tutta una serie di suoi prodotti, un lavoro intenso a correzione di vulnerabilità serie.
Se ne ha notizia con il bollettino VMSA-2022-0021 (https://www.vmware.com/security/advisories/VMSA-2022-0021.html) da parte della softwarehouse di Palo Alto in cui si indicano ben 10 CVE con un intervallo di criticità tra il 4.7 e il 9.8. Diversi i prodotti coinvolti: VMware Workspace ONE Access (Access), VMware Workspace ONE Access Connector (Access Connector), VMware Identity Manager (vIDM), VMware Identity Manager Connector (vIDM Connector), VMware vRealize Automation (vRA), VMware Cloud Foundation e vRealize Suite Lifecycle Manager.
La più grave delle vulnerabilità (CVSSv3 9.8) è la CVE-2022-31656, una vulnerabilità che consente di aggirare l’autenticazione dell’interfaccia utente in VMware Workspace ONE Access, Identity Manager e vRealize Automation, ottenendone privilegi amministrativi.
Non meno gravi (CVSSv3 8.0) la CVE-2022-31658 e CVE-2022-31659, due vulnerabilità che consentono l’esecuzione di codice remoto (RCE) nei medesimi software quando un attaccante possieda un accesso via rete e accesso amministrativo. La prima è consentita mediante JDBC Injection, la seconda mediante SQL Injection. Come è evidente queste vulnerabilità sono fortemente legate allo sfruttamento della precedente, creando così complessivamente una vulnerabilità composta di natura micidiale.
Simile, ma valutata con CVSSv3 7.6, la vulnerabilità CVE-2022-31665 consente mediante JDBC Injection l’esecuzione di codice arbitrario da remoto ad un agente che disponga di accesso di rete e privilegio amministrativo.
Sempre gli stessi software non se la cavano bene dall’altra parte del perimetro, quando un attore di minaccia abbia un accesso locale: in questo caso le vulnerabilità CVE-2022-31660 e CVE-2022-31661 e CVE-2022-31664 (CVSSv3 7.8) consentono a chi possiede un accesso locare di elevare il privilegio all’utente ‘root’.
Terminano il lungo elenco vulnerabilità di gravità minore quali la CVE-2022-31657 (CVSSv3 5.9), la CVE-2022-31662 (CVSSv3 5.3) e la CVE-2022-31663 (CVSSv3 4.7).
La CVE-2022-31657 consente ad un attore di minaccia con accesso via rete ad istanze di VMware Workspace ONE Access o Identity Manager di poter ridirigere un utente autenticato verso un dominio arbitrario (evidentemente malevolo) mediante una URL Injection.
La CVE-2022-31662 è una vulnerabilità di tipo path traversal per VMware Workspace ONE Access, Identity Manager, Connectors e vRealize Automation: tramite questa un attore di minaccia può accedere a file arbitrari nelle piattaforme.
Infine la CVE-2022-31663 è una vulnerabilità presente in VMware Workspace ONE Access, Identity Manager e vRealize Automation di tipo XSS riflesso. A causa di una impropria sanificazione dell’input utente è possibile ad un agente di minaccia includere codice javascript arbitrario nella finestra di un utente che acceda ai prodotti vulnerabili.
Insomma, anche questa estate occorre vigilare sulla sicurezza dei prodotti, e per tutti coloro che abbiano un prodotto VMWare affetto da queste vulnerabilità è opportuno correre celermente ai ripari: quindi niente riposo neanche per noi.