Virtualisatiegigant VMware heeft patches uitgebracht voor vier kwetsbaarheden in zijn vRealize Log Insight-product, waarvan er twee een "kritieke" ernstclassificatie hebben.
Het kritieke paar is CVE-2022-31703 en CVE-2022-31704. De eerste is een kwetsbaarheid voor het doorzoeken van mappen, terwijl de laatste een kwetsbaarheid voor toegangscontrole is. Beiden kregen een ernstscore van 9.8 en beide geven bedreigingsactoren toegang tot bronnen die anders ontoegankelijk zouden moeten zijn.
"Een niet-geverifieerde, kwaadwillende actor kan bestanden in het besturingssysteem van een getroffen apparaat injecteren, wat kan leiden tot het uitvoeren van externe code", legt VMware uit.
Gevoelige gegevens lopen gevaar
De andere twee gebreken zijn CVE-2022-31710 en CVE-2022-31711. De eerste is een deserialisatie-kwetsbaarheid waarmee bedreigingsactoren met gegevens kunnen knoeien en denial-of-service-aanvallen kunnen lanceren. Het heeft een ernstscore van 7.5 gekregen. Dit laatste is een bug met een score van 5.3 voor het vrijgeven van informatie die kan worden gebruikt om gevoelige gegevens te stelen.
Om zich tegen de fouten te beschermen, wordt gebruikers geadviseerd om de patch onmiddellijk toe te passen en hun eindpunten mee te nemen (opent in nieuw tabblad) naar versie 8.10.2. Degenen die de patch nu niet kunnen toepassen, kunnen ook de tijdelijke oplossing toepassen, waarvoor de instructies te vinden zijn hier (opent in nieuw tabblad) .
De gebreken werden oorspronkelijk ontdekt door het Zero Day Initiative, bevestigde de publicatie. De leden van het programma zeiden dat er tot nu toe geen bewijs is dat de gebreken in het wild worden misbruikt.
"We zijn niet op de hoogte van enige openbare exploitcode of actieve aanvallen die gebruik maken van deze kwetsbaarheid", zegt Dustin Childs, hoofd bedreigingsbewustzijn bij Trend Micro's ZDI. Het register . "Hoewel we momenteel geen plannen hebben om een proof of concept voor deze bug te publiceren, gaat ons onderzoek naar VMware en andere virtualisatietechnologieën door."
vRealize Log Insight is een hulpprogramma voor logboekbeheer. Hoewel het niet zo populair is als sommige andere oplossingen van VMware, maakt de aanwezigheid van het bedrijf in zowel de publieke als de private sector hoogstwaarschijnlijk al zijn producten een aantrekkelijk doelwit voor cybercriminelen die op zoek zijn naar kwetsbaarheden.
Via: Het register (opent in nieuw tabblad)