[English]Der Anbieter VMware hat einen kritischen Bug in mehreren seiner Produkte durch Updates beseitigt. Die Schwachstelle CVE-2022-22972 ermöglicht einen administrativen Zugriff ohne Authentifizierung und betrifft die Produkte Workspace ONE Access, VMware Identity Manager (vIDM) und vRealize Automation. Die Cyber-Sicherheitsabteilung des US Department of Homeland Security (DHS) hat US-Behörden in einer Direktive angewiesen, VMware-Produkte, die von den Schwachstellen CVE-2022-22972 und CVE-2022-22973 betroffen sind, binnen fünf Tagen zu aktualisieren oder aus ihren Netzwerken zu entfernen.
Anzeige
CVE-2022-22972 und CVE-2022-22973
Die Kollegen von Bleeping Computer weisen hier auf die VMware Sicherheitswarnung VMSA-2022-0014 hin, die sich auf folgende Produkte bezieht.
- VMware Workspace ONE Access (Access)
- VMware Identity Manager (vIDM)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
In diesen Produkten gibt es die Authentication Bypass Schwachstelle CVE-2022-22972, die mit dem CVSSv3 Base Score von 9.8 bewertet wird. Denn ein böswilliger Akteur, der über Netzwerkzugriff auf die Benutzeroberfläche verfügt, kann in den genannten Produkten ohne Authentifizierung administrativen Zugriff erhalten.
Zudem gibt es eine Local Privilege Escalation Schwachstelle CVE-2022-22973 im VMware Workspace ONE Access und Identity Manager, der mit einem CVSSv3 Base Score von 7.8 eingestuft wurde. Angreifer benötigen einen lokalen Zugriff, können sich mit der Schwachstelle dann aber root-Rechte verschaffen. VMware stellt für die betroffenen Produkte Updates bereit, die um Advisory VMSA-2022-0014 aufgeführt werden. Zudem gibt es eine FAQ zu den Schwachstellen und Hinweise, wie man die Schwachstellen bei Bedarf vor dem Einspielen der Updates entschärfen kann.
Die DHS-Direktive
Die Cyber-Sicherheitsabteilung des US Department of Homeland Security (DHS) hat US-Behörden in einer Direktive angewiesen, VMware-Produkte, die von den Schwachstellen CVE-2022-22972 und CVE-2022-22973 (im Mai 2022 gepatcht) sowie zwei im April gepatchten Schwachstellen betroffen sind, binnen fünf Tagen zu aktualisieren oder aus ihren Netzwerken zu entfernen. Die April-Schwachstellen wurden binnen Tagen durch Angreifer aktiv ausgenutzt. Nachfolgender Tweet weist auf die Anweisung EMERGENCY DIRECTIVE 22-03 MITIGATE VMWARE VULNERABILITIES hin.
Bis Montag, den 5. Mai 2022 müssen alle betroffenen VMware-Produkte in der betreffenden US-Einheit identifiziert und gemäß dem VMware Security Advisory VMSA-2022-0014 gepatcht sein. Nicht gepatchte Produkte sind aus dem Netzwerk der Behörde entfernt werden, bis das Update eingespielt werden kann.
Sofern keine Updates verfügbar sind, weil die Produkte vom Hersteller nicht mehr unterstützt werden (z. B. Ende des Service, Ende der Lebensdauer), müssen nicht unterstützte Produkte sofort aus den Netzwerken der Behörde entfernt werden.
Außerdem müssen alle Instanzen der betroffenen VMware-Produkte, die über das Internet zugänglich sind, entfernt werden. Behörden, deren Produkte per Internet erreichbar waren, sind als kompromittiert zu betrachte. Es ist dann sofort die Verbindung zum Produktionsnetzwerk zu trennen und die in der CISA CSA beschriebenen Aktivitäten zur Bedrohungsjagd durchzuführen. Bis 24. Mai 2022 sind zudem die VMware-Instanzen in Behördennetzwerke an DHS zu melden.
Anzeige
2015
