Критические уязвимости в продуктах VMware

Из-за критических уязвимостей несколько продуктов VMware рекомендуют «запатчить или удалить». Вероятно, следует прислушаться к этой рекомендации.

Критические уязвимости в продуктах VMWare

18 мая компания VMware выпустила патчи для двух уязвимостей в своих продуктах: CVE-2022-22972, CVE-2022-22973. О степени их опасности говорит тот факт, что в тот же день Министерство внутренней безопасности США выпустило директиву, обязывающую все федеральные агентства в течение пяти дней устранить эти уязвимости в своей инфраструктуре — путем установки заплаток, а если это невозможно, то «удаления из своей сети» затронутых продуктов VMware. Судя по всему, есть смысл последовать примеру американских госучреждений и незамедлительно установить патчи.

Что за уязвимости?

Уязвимости затрагивают пять продуктов компании — VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation и vRealize Suite Lifecycle Manager.

Особую опасность представляет первая уязвимость, CVE-2022-22972, со степенью опасности 9,8 по шкале CVSS. Ее эксплуатация может позволить злоумышленникам получить в системе права администратора без какой-либо аутентификации.

Вторая уязвимость, CVE-2022-22973, касается повышения привилегий. Для ее эксплуатации злоумышленники должны уже иметь какие-то права в атакуемой системе, поэтому ее степень опасности несколько ниже — 7,8 по шкале CVSS. Однако к ней также следует относиться серьезно, поскольку она позволяет повысить привилегии в системе до уровня root.

Дополнительную информацию можно найти в официальном документе FAQ, посвященном этой проблеме.

Реальная степень опасности уязвимостей CVE-2022-22973 и CVE-2022-22972

Ни специалистам VMware, ни экспертам из CISA пока неизвестно о применении данных уязвимостей в реальных атаках. Поводом к изданию экстренной директивы CISA послужил тот факт, что в начале апреля этого года VMware уже закрывала несколько уязвимостей в тех же продуктах, после чего на системы, не обновленные в течение 48 часов, начались атаки. То есть в тот раз злоумышленникам потребовалось менее двух суток на создание эксплойтов — и, очевидно, есть опасения, что ситуация может повториться.

Более того, эксперты CISA полагают, что две новые уязвимости могут быть использованы в связке с апрельскими CVE-2022-22954 и CVE-2022-22960 для организации сложных целевых атак. Именно поэтому они обязали все федеральные агентства закрыть уязвимости до 5:00 после полудня 23 мая 2022 года по североамериканскому восточному времени.

Как избежать эксплуатации уязвимостей в продуктах VMware

VMware рекомендует первым делом обновить все уязвимое ПО до поддерживаемых версий и только потом устанавливать патчи. Проверить актуальность версии можно на странице VMware LogoProduct Lifecycle Matrix. Перед установкой разумно создать резервные копии или сделать снэпшоты обновляемых программ. Патчи и советы по их установке можно найти в базе знаний VMware.

В остальном не следует забывать, что все информационные системы, имеющие доступ к сети Интернет, должны иметь надежные защитные решения. В случае с виртуальными средами — следует использовать специализированную защиту.

В качестве дополнительного слоя защиты имеет смысл также использовать решения, позволяющие мониторить активность внутри инфраструктуры и выявлять признаки вредоносной деятельности до того, как злоумышленники успеют нанести вред.

Советы