Novinky

Upozornění na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations

Upozorňujeme na sadu 10 zranitelností v komponentech virtualizačního softwaru VMware. Společnost VMware zranitelnosti zveřejnila 2. srpna 2022 a přisuzuje jim dle standardu CVSSv3 skóre v rozmezí od 4.7 po 9.8 (9-10 značí kritickou zranitelnost). U dvou nejzávažnějších zranitelností byl v nedávné době zveřejněn Proof of Concept (PoC), dokazující možný authentication bypass. Útočník se síťovým přístupem k uživatelskému rozhraní tedy může zneužitím těchto zranitelností získat administrativní přístup bez nutnosti procesu autentizace.

Identifikátory (CVSSv3 skóre): CVE-2022-31656 (9.8), CVE-2022-31657 (9.8), CVE-2022-31658 (7.2), CVE-2022-31659 (7.2), CVE-2022-31660 (7.8), CVE-2022-31661 (7.8), CVE-2022-31662 (7.5), CVE-2022-31663 (6.1), CVE-2022-31664 (7.8), CVE-2022-31665 (7.4)

Zasaženy jsou všechny produkty uvedené níže. Dále i ty, které nabízely Workspace ONE Access nebo VMware Identity Manager (vIDM) jako volitelnou komponentu k instalaci.

  • VMware Workspace ONE Access (Access)
  • VMware Workspace ONE Access Connector (Access Connector)
  • VMware Identity Manager (vIDM)
  • VMware Identity Manager Connector (vIDM Connector)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Druhá sada čtyř zranitelností byla zveřejněna 9. srpna 2022 a týká se platformy VMware vRealize Operations. VMware odhaduje, že závažnost zranitelností bude přibližně 7.2 podle CVSSv3 standardu. Zranitelnosti útočníkovi umožňují eskalaci administrátorských oprávnění na root. I k těmto zranitelnostem existuje veřejně dostupný PoC. S přihlédnutím k nízké komplexitě útoku lze očekávat prudký nárůst zneužívání těchto zranitelností.

Identifikátory (CVSSv3 skóre zatím nebylo přiděleno): CVE-2022-31672CVE-2022-31673CVE-2022-31674CVE-2022-31675

Doporučení: Výrazně doporučujeme bezodkladnou aktualizaci všech komponent na nejnovější verzi (včetně VMware Vrealize Operations na verzi 8.6.4.). Detailnější tabulku verzí a podrobnější instrukce k aktualizaci naleznete zde: https://kb.vmware.com/s/article/89096.

 

Citováno dne 16.08.2022. Dostupné z: https://nukib.cz/cs/infoservis/hrozby/1865-upozorneni-na-sadu-zranitelnosti-tykajici-se-softwaru-vmware-a-platformy-vmware-vrealize-operations/

MicrosoftFujitsuEpsonOKIZyXELSolitea