уязвимости
18 мая компания VMware выпустила патчи для двух уязвимостей в своих продуктах: CVE-2022-22972, CVE-2022-22973. О степени их опасности говорит тот факт, что в тот же день Министерство внутренней безопасности США выпустило директиву, обязывающую все федеральные агентства в течение пяти дней устранить эти уязвимости в своей инфраструктуре — путем установки заплаток, а если это невозможно, то «удаления из своей сети» затронутых продуктов VMware. Судя по всему, есть смысл последовать примеру американских госучреждений и незамедлительно установить патчи.
Что за уязвимости?
Уязвимости затрагивают пять продуктов компании — VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation и vRealize Suite Lifecycle Manager.
Особую опасность представляет первая уязвимость, CVE-2022-22972, со степенью опасности 9,8 по шкале CVSS. Ее эксплуатация может позволить злоумышленникам получить в системе права администратора без какой-либо аутентификации.
Вторая уязвимость, CVE-2022-22973, касается повышения привилегий. Для ее эксплуатации злоумышленники должны уже иметь какие-то права в атакуемой системе, поэтому ее степень опасности несколько ниже — 7,8 по шкале CVSS. Однако к ней также следует относиться серьезно, поскольку она позволяет повысить привилегии в системе до уровня root.
Дополнительную информацию можно найти в официальном документе FAQ, посвященном этой проблеме.
Реальная степень опасности уязвимостей CVE-2022-22973 и CVE-2022-22972
Ни специалистам VMware, ни экспертам из CISA пока неизвестно о применении данных уязвимостей в реальных атаках. Поводом к изданию экстренной директивы CISA послужил тот факт, что в начале апреля этого года VMware уже закрывала несколько уязвимостей в тех же продуктах, после чего на системы, не обновленные в течение 48 часов, начались атаки. То есть в тот раз злоумышленникам потребовалось менее двух суток на создание эксплойтов — и, очевидно, есть опасения, что ситуация может повториться.
Более того, эксперты CISA полагают, что две новые уязвимости могут быть использованы в связке с апрельскими CVE-2022-22954 и CVE-2022-22960 для организации сложных целевых атак. Именно поэтому они обязали все федеральные агентства закрыть уязвимости до 5:00 после полудня 23 мая 2022 года по североамериканскому восточному времени.
Как избежать эксплуатации уязвимостей в продуктах VMware
VMware рекомендует первым делом обновить все уязвимое ПО до поддерживаемых версий и только потом устанавливать патчи. Проверить актуальность версии можно на странице VMware LogoProduct Lifecycle Matrix. Перед установкой разумно создать резервные копии или сделать снэпшоты обновляемых программ. Патчи и советы по их установке можно найти в базе знаний VMware.
В остальном не следует забывать, что все информационные системы, имеющие доступ к сети Интернет, должны иметь надежные защитные решения. В случае с виртуальными средами — следует использовать специализированную защиту.
В качестве дополнительного слоя защиты имеет смысл также использовать решения, позволяющие мониторить активность внутри инфраструктуры и выявлять признаки вредоносной деятельности до того, как злоумышленники успеют нанести вред.
Советы