Após publicar uma correção para o problema, o VMware alertou sobre a exploração pública de uma falha crítica de bypass de autenticação.
Há uma semana, a VMware lançou atualizações para resolver a vulnerabilidade (CVE-2022-31656) que afeta o VMware Workspace ONE Access, o Identity Manager e o vRealize Automation.
Agora, o código de exploração de prova de conceito está disponível publicamente online para uma falha crítica de segurança de desvio de autenticação em vários produtos VMware que permite que invasores obtenham privilégios de administrador.
VMware alertou sobre a exploração pública de uma falha crítica de bypass de autenticação
Várias outras falhas foram corrigidas no mesmo dia, incluindo uma falha de injeção de SQL de alta gravidade (CVE-2022-31659) que permite que invasores remotos obtenham execução remota de código.
Agora, a VMware “confirmou que o código malicioso que pode explorar CVE-2022-31656 e CVE-2022-31659 em produtos afetados está disponível publicamente” em uma atualização do comunicado original.
O pesquisador de segurança da VNG Security, Petrus Viet, que descobriu e relatou a falha, lançou hoje uma exploração de prova de conceito (PoC) e uma análise técnica detalhada para esse bug.
Ele anunciou na semana passada que um PoC CVE-2022-22972 seria disponibilizado esta semana.
“É extremamente importante que você tome medidas rapidamente para corrigir ou mitigar esses problemas em implantações locais”, alertou Bob Plankers, arquiteto de conformidade e segurança de infraestrutura em nuvem da VMware, na semana passada.
“Se sua organização usa metodologias ITIL para gerenciamento de mudanças, isso seria considerado uma mudança de ‘emergência’.”
Felizmente, a VMware diz em um comunicado separado que não há evidências de que esses graves bugs de segurança estejam sendo explorados em ataques.
A empresa fornece links para download de patches e instruções detalhadas de instalação em seu site de base de conhecimento.
Ele também compartilhou uma solução temporária para aqueles que não conseguiram corrigir os dispositivos vulneráveis imediatamente, exigindo que eles desabilitassem todos os usuários, exceto um administrador provisionado.
Como os servidores VMware são um alvo atraente, todos os dispositivos vulneráveis devem ser atualizados imediatamente ou colocados off-line para evitar comprometimento, pois os agentes de ameaças provavelmente desenvolverão em breve suas próprias explorações para usar em ataques.
Não fazer isso acabará levando a violações de rede e ataques mais significativos, incluindo implantação de ransomware e roubo de dados.
Em maio, a VMware corrigiu um bug crítico quase idêntico, outra fraqueza de desvio de autenticação (CVE-2022-22972) encontrada por Bruno López da Innotec Security e usada por Viet como inspiração ao pesquisar a vulnerabilidade CVE-2022-31656.