VMware và các chuyên gia cũng đang kêu gọi người dùng vá nhiều sản phẩm bị ảnh hưởng bởi lỗ hổng bỏ qua xác thực quan trọng có thể cho phép kẻ tấn công có quyền truy cập quản trị vào hệ thống cũng như khai thác các lỗ hổng khác.

Lỗi — được theo dõi là CVE-2022-31656—Đã nhận được xếp hạng 9.8 trên CVSS và là một trong số các bản sửa lỗi mà công ty đã thực hiện trong các sản phẩm khác nhau trong một bản cập nhật các nhà nghiên cứu cho biết đã phát hành hôm thứ Ba vì những lỗ hổng có thể dễ dàng trở thành một chuỗi khai thác.

CVE-2022-31656 chắc chắn cũng là lỗ hổng nguy hiểm nhất trong số các lỗ hổng này và có khả năng sẽ trở nên nhiều hơn khi nhà nghiên cứu đã phát hiện ra nó–Petrus Việt của VNG Security – đã hứa trong một tweet rằng việc khai thác bằng chứng về khái niệm cho lỗi này "sẽ sớm xảy ra", các chuyên gia cho biết.

Các nhà nghiên cứu cho biết, điều này làm tăng thêm tính cấp thiết cho các tổ chức bị ảnh hưởng bởi lỗ hổng này.

“Với sự phổ biến của các cuộc tấn công nhắm vào các lỗ hổng VMware và một khái niệm bằng chứng sắp ra mắt, các tổ chức cần ưu tiên vá CVE-2022-31656,” Claire Tillis, kỹ sư nghiên cứu cấp cao của Nhóm phản hồi bảo mật của Tenable, cho biết trong một email gửi tới Threatpost. “Như một biện pháp bỏ qua xác thực, việc khai thác lỗ hổng này mở ra khả năng những kẻ tấn công có thể tạo ra các chuỗi khai thác rất rắc rối.”

Tiềm năng cho chuỗi tấn công

Cụ thể, CVE-2022-31656 là lỗ hổng bỏ qua xác thực ảnh hưởng đến VMware Workspace ONE Access, Identity Manager và vRealize Automation.

Lỗi ảnh hưởng đến người dùng miền cục bộ và yêu cầu kẻ tấn công từ xa phải có quyền truy cập mạng vào giao diện người dùng dễ bị tấn công, một bài đăng blog của Tillis xuất bản hôm thứ Ba. Một khi kẻ tấn công đạt được điều này, họ có thể sử dụng lỗ hổng để bỏ qua xác thực và giành quyền truy cập quản trị, cô nói.

Hơn nữa, lỗ hổng bảo mật là cửa ngõ để khai thác các lỗ hổng thực thi mã từ xa (RCE) khác được giải quyết bởi bản phát hành của VMWare trong tuần này—CVE-2022-31658 và CVE-2022-31659—Để tạo thành một chuỗi tấn công, Tillis nhận xét.

CVE-2022-31658 là một lỗ hổng JDBC tiêm RCE ảnh hưởng đến VMware Workspace ONE Access, Identity Manager và vRealize Automation đã giành được điểm “quan trọng” trên CVSS — 8.0. Lỗ hổng cho phép một tác nhân độc hại có quyền truy cập mạng và quản trị viên để kích hoạt RCE.

CVE-2022-31659 là một lỗ hổng SQL injection RCE ảnh hưởng đến VMware Workspace ONE Access and Identity Manager và cũng được xếp hạng 8.0 với vectơ tấn công tương tự như CVE-2022-31658. Việt được cho là đã phát hiện ra cả hai sai sót này.

Sáu lỗi khác được vá trong bản cập nhật bao gồm một lỗi RCE khác (CVE-2022-31665) được đánh giá là quan trọng; hai lỗ hổng leo thang đặc quyền (CVE-2022-31660 và CVE-2022-31661) được đánh giá là quan trọng; lỗ hổng báo cáo đặc quyền cục bộ (CVE-2022-31664) được đánh giá là quan trọng; Lỗ hổng chèn URL (CVE-2022-31657) được xếp hạng là trung bình; và một lỗ hổng truyền qua đường dẫn (CVE-2022-31662) được đánh giá là trung bình.

Vá sớm, vá mọi thứ

VMware không lạ gì với việc phải gấp rút tung ra các bản vá cho các lỗi nghiêm trọng được tìm thấy trong các sản phẩm của mình và đã phải gánh chịu những tai họa về bảo mật do sự phổ biến của nền tảng này trên khắp các mạng doanh nghiệp.

Vào cuối tháng XNUMX, chẳng hạn, các cơ quan liên bang đã cảnh báo về những kẻ tấn công pummeling Máy chủ VMware Horizon và Unified Access Gateway (UAG) để khai thác Nhật ký4Shell Lỗ hổng RCE, một lỗ hổng dễ khai thác được phát hiện trong thư viện ghi nhật ký Apache Log4J vào cuối năm ngoái và liên tục được nhắm mục tiêu trên VMware và các nền tảng khác kể từ đó.

Thật vậy, đôi khi ngay cả việc vá lỗi vẫn chưa đủ đối với VMware, với những kẻ tấn công nhắm vào các lỗ hổng hiện có sau khi công ty thực hiện thẩm định để đưa ra bản sửa lỗi.

Kịch bản này xảy ra vào tháng 2020 năm XNUMX, khi Feds đã cảnh báo các đối thủ đã tích cực khai thác một lỗi đã tồn tại hàng tuần trong các sản phẩm Workspace One Access và Identity Manager ba ngày sau khi nhà cung cấp vá lỗ hổng bảo mật.

Mặc dù tất cả các dấu hiệu đều chỉ ra sự cấp thiết của việc vá các mối đe dọa mới nhất đối với nền tảng của VMware, nhưng rất có thể ngay cả khi lời khuyên được chú ý, mối nguy hiểm vẫn sẽ tồn tại trong tương lai gần, một chuyên gia bảo mật nhận xét.

Theo Greg Fitzgerald, đồng sáng lập Sevco Security, mặc dù các doanh nghiệp có xu hướng di chuyển nhanh chóng để vá các mối đe dọa sắp xảy ra nhất đối với mạng của họ, nhưng họ thường bỏ lỡ những nơi khác mà kẻ tấn công có thể khai thác lỗ hổng, theo nhận xét của Greg Fitzgerald, đồng sáng lập Sevco Security, trong một email gửi tới Threatpost. Đây là điều dẫn đến các cuộc tấn công dai dẳng và liên tục, ông nói.

“Rủi ro đáng kể nhất đối với các doanh nghiệp không phải là tốc độ mà họ đang áp dụng các bản vá quan trọng; Fitzgerald nói. “Thực tế đơn giản là hầu hết các tổ chức không duy trì được bản kiểm kê tài sản CNTT cập nhật và chính xác, và cách tiếp cận khó khăn nhất để quản lý bản vá không thể đảm bảo rằng tất cả tài sản doanh nghiệp được hạch toán.”