Warnung: Kritische Schwachstellen in VMware-Produkten (6. April 2022)

[English]Gestern erst hatte ich im Blog-Beitrag VMware reagiert auf die Spring4Shell RCE Schwachstelle CVE-2022-22965 vor einer Schwachstelle in bestimmten VMware-Produkten gewarnt. Nun hat der Hersteller nachgelegt und warnt vor kritischen Schwachstellen in diversen VMware-Produkten. Das betrifft Workspace ONE Access, VMware Identity Manager (vIDM), vRealize Lifecycle Manager, vRealize Automation und VMware Cloud Foundation-Produkte. Sicherheitsupdates zum Schließen der Schwachstellen stehen bereit.

Die Warnung vom 6. April 2022 findet sich in VMSA-2022-0011 und betrifft die Liste der nachfolgend aufgeführten Schwachstellen in den nachfolgend aufgeführten VMware-Produkten:

• VMware Workspace ONE Access (Access)
• VMware Identity Manager (vIDM)
• VMware vRealize Automation (vRA)
• VMware Cloud Foundation
• vRealize Suite Lifecycle Manager

Hier die Kompaktübersicht über die betreffenden Schwachstellen:

• CVE-2022-22954: Remote Code Execution-Schwachstelle in VMware Workspace ONE Access und Identity Manager aufgrund einer serverseitigen Vorlageninjektion. VMware hat den Schweregrad dieses Problems als kritisch eingestuft, mit einer maximalen CVSSv3-Basisbewertung von 9,8.
• CVE-2022-22955, CVE-2022-22956: VMware Workspace ONE Access weist zwei Schwachstellen zur Umgehung der Authentifizierung im OAuth2 ACS-Framework auf. VMware hat den Schweregrad dieser Schwachstellen als kritisch eingestuft, mit einer maximalen CVSSv3-Basisbewertung von 9,8. Ein böswilliger Akteur kann den Authentifizierungsmechanismus umgehen und beliebige Vorgänge aufgrund von offengelegten Endpunkten im Authentifizierungs-Framework ausführen.
• CVE-2022-22957, CVE-2022-22958:  VMware Workspace ONE Access, Identity Manager und vRealize Automation enthalten zwei Schwachstellen für Remotecodeausführung. VMware hat den Schweregrad dieser Schwachstellen als kritisch eingestuft, mit einer maximalen CVSSv3-Basisbewertung von 9,1. Ein böswilliger Akteur mit administrativem Zugriff kann die Deserialisierung von nicht vertrauenswürdigen Daten über einen böswilligen JDBC-URI auslösen, was zu Remotecodeausführung führen kann.
• CVE-2022-22959: VMware Workspace ONE Access, Identity Manager und vRealize Automation enthalten eine Cross-Site-Request-Forgery-Schwachstelle. VMware hat den Schweregrad dieser Schwachstelle in den Bereich "Wichtig" mit einer maximalen CVSSv3-Basisbewertung von 8,8 eingestuft. Ein böswilliger Akteur kann einen Benutzer durch eine Cross-Site-Request-Forgery dazu bringen, unbeabsichtigt einen bösartigen JDBC-URI zu validieren.
• CVE-2022-22960: VMware Workspace ONE Access, Identity Manager und vRealize Automation enthalten eine Schwachstelle für die Ausweitung von Privilegien aufgrund von unzulässigen Berechtigungen in Support-Skripten. VMware hat den Schweregrad dieser Schwachstelle in den Bereich "Wichtig" mit einer maximalen CVSSv3-Basisbewertung von 7,8 eingestuft. Ein böswilliger Akteur mit lokalem Zugriff kann die Rechte auf "root" erweitern.
• CVE-2022-22961: VMware Workspace ONE Access, Identity Manager und vRealize Automation enthalten eine Schwachstelle in Bezug auf die Offenlegung von Informationen, da zu viele Informationen zurückgegeben werden. VMware hat den Schweregrad dieses Problems als mittelschwer eingestuft, mit einer maximalen CVSSv3-Basisbewertung von 5,3. Ein böswilliger Akteur mit Fernzugriff kann den Hostnamen des Zielsystems ausspähen. Eine erfolgreiche Ausnutzung dieses Problems kann dazu führen, dass Opfer ins Visier genommen werden.

VMware hat Sicherheitsupdates bereitgestellt, die in VMSA-2022-0011 aufgelistet werden. Der Hersteller empfiehlt Administratoren die Produkte zeitnah zu patchen. Zur weiteren Unterstützung wurde ein zusätzlicher Blogbeitrag mit einer Q&A erstellt