ענקית הווירטואליזציה VMware פרסמה תיקונים לארבע נקודות תורפה במוצר vRealize Log Insight שלה, לשתיים מהן יש דירוג חומרה "קריטי".
הזוג הקריטי הוא CVE-2022-31703 ו-CVE-2022-31704. הראשון הוא פגיעות של מעבר ספריות, בעוד שהאחרון הוא פגיעות בקרת גישה שבורה. שניהם קיבלו ציון חומרה של 9.8, ושניהם מאפשרים לשחקני איום לגשת למשאבים שאחרת אמורים להיות בלתי נגישים.
"שחקן זדוני לא מאומת יכול להחדיר קבצים למערכת ההפעלה של מכשיר מושפע מה שעלול לגרום לביצוע קוד מרחוק", הסביר VMware.
נתונים רגישים בסיכון
שני הפגמים האחרים הם CVE-2022-31710 ו-CVE-2022-31711. הראשון הוא פגיעות דה-סריאליזציה המאפשרת לשחקני איומים להתעסק בנתונים ולצאת למתקפות מניעת שירות. הוא קיבל ציון חומרה של 7.5. האחרון הוא באג בחשיפת מידע בעל ניקוד של 5.3 שניתן למנף אותו לגניבת נתונים רגישים.
כדי להגן מפני הפגמים, מומלץ למשתמשים להחיל את התיקון מיד ולהביא את נקודות הקצה שלהם (נפתח בלשונית חדשה) לגרסה 8.10.2. אלה שאינם יכולים להחיל את התיקון כעת יכולים גם ליישם את הפתרון, עבורו ניתן למצוא את ההוראות כאן (נפתח בלשונית חדשה) .
הפגמים התגלו במקור על ידי יוזמת Zero Day, כך אישר הפרסום. חברי התוכנית אמרו כי עד כה, אין עדות לכך שהפגמים נוצלו לרעה בטבע.
"איננו מודעים לקוד ניצול ציבורי או התקפות פעילות המשתמשות בפגיעות זו", אמר דסטין צ'יילדס, ראש מחלקת מודעות לאיומים ב-ZDI של Trend Micro. הקופה . "למרות שאין לנו תוכניות עדכניות לפרסם הוכחה לקונספט עבור הבאג הזה, המחקר שלנו ב-VMware וטכנולוגיות וירטואליזציה אחרות נמשך."
vRealize Log Insight הוא כלי לניהול יומנים. למרות שהוא אינו פופולרי כמו חלק מהפתרונות האחרים של VMware, הנוכחות של החברה הן במגזר הציבורי והן במגזר הפרטי הופכת את כל מוצריה למטרה אטרקטיבית עבור פושעי סייבר המחפשים נקודות תורפה.
ויה: הקופה (נפתח בלשונית חדשה)