Parche estos productos VMware vulnerables o elimínelos de su red, CISA advierte a las agencias federales

Las empresas deben parchear o eliminar de inmediato los productos de VMware afectados por fallas críticas recientemente reveladas, advierte la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

La medida drástica de eliminar los productos si no se pueden parchear se basa en la explotación anterior de fallas críticas de VMware dentro de 48 horas de divulgación, según CISA. 

VMware el miércoles 18 de mayo revelada múltiples fallas de seguridad en VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manager. 

VER: ¿Justo a tiempo? Los jefes finalmente se están dando cuenta de la amenaza de ciberseguridad

Las vulnerabilidades se rastrean como CVE-2022-22972 y CVE-2022-22973, que son, respectivamente, una omisión de autenticación con una puntuación de gravedad de 9.8 sobre 10 y una vulnerabilidad de escalada de privilegios locales con una puntuación de 7.8. 

Un atacante con acceso de red a la interfaz de usuario de administración podría acceder a ella sin necesidad de una contraseña, VMware advierte en un aviso. 

Los parches están disponibles y VMware insta a los clientes a aplicarlos o mitigar los problemas de inmediato. advertencia en una publicación de blog separada que las “ramificaciones de esta vulnerabilidad son graves”.   

CISA les ha dicho a las agencias civiles federales de EE. UU. que los parchen o eliminen de inmediato los productos afectados sobre la base de la explotación casi inmediata y generalizada de dos fallas de VMware, CVE-2022-22954 y CVE-2022-22960, en los mismos productos en abril. 

VMware lanzó parches para ellos en abril, pero los atacantes rápidamente aplicaron ingeniería inversa a los parches y los encadenaron para explotarlos. 

“Los actores cibernéticos maliciosos pudieron aplicar ingeniería inversa a las actualizaciones del proveedor para desarrollar un exploit dentro de las 48 horas y rápidamente comenzaron a explotar estas vulnerabilidades reveladas en dispositivos sin parches”, dijo CISA. 

“Basándose en esta actividad, CISA espera que los actores cibernéticos maliciosos desarrollen rápidamente una capacidad para explotar CVE-2022-22972 y CVE-2022-22973, que fueron revelados por VMware el 18 de mayo de 2022”. 

Firma de seguridad Rapid7 observó explotación activa en estado salvaje el 12 de abril, seis días después de que VMware emitiera parches. Soon después, se utilizaron varios exploits públicos de prueba de concepto para instalar mineros de monedas en sistemas vulnerables. Los atacantes encadenaron CVE-2022-22954 (un problema de inyección de plantilla del lado del servidor que afecta a VMware Workspace ONE Access e Identity Manager) con CVE-2022-22960 (un error de escalada de privilegios local) para escalar a los privilegios raíz. 

CISA emitió una directiva de emergencia que requiere que las agencias federales corrijan de inmediato las fallas de VMware de abril como lo había hecho con las fallas de Apache Log4j "Log4Shell". 

VER: Seguridad informática en la nube: la nueva guía tiene como objetivo mantener sus datos a salvo de ciberataques e infracciones

La autoridad de seguridad ha emitido la misma directiva a las agencias federales para las últimas fallas de VMware, señalando que las fallas “representan un riesgo inaceptable” para las agencias civiles federales.   

“CISA espera que los actores de amenazas desarrollen rápidamente una capacidad para explotar estas vulnerabilidades recientemente lanzadas en los mismos productos de VMware afectados. La explotación de las vulnerabilidades anteriores permite a los atacantes activar una inyección de plantilla del lado del servidor que puede resultar en la ejecución remota de código (CVE-2022-22954); escalar privilegios a 'raíz' (CVE-2022-22960 y CVE-2022-22973); y obtenga acceso administrativo sin necesidad de autenticarse (CVE-2022-22972)”, dice. 

Las autoridades de ciberseguridad de otras naciones no han emitido alertas sobre las últimas fallas de VMware. CISA, sin embargo, recomienda a todas las organizaciones que los parchen rápidamente si los sistemas vulnerables son accesibles desde Internet. VMware tiene pasos de mitigación publicados para algunos de los productos afectados.