Gigant wirtualizacji, firma VMware, wydała łaty dla czterech luk w zabezpieczeniach swojego produktu vRealize Log Insight, z których dwie mają „krytyczną” ocenę ważności.
Para krytyczna to CVE-2022-31703 i CVE-2022-31704. Pierwsza to luka w zabezpieczeniach związana z przeglądaniem katalogów, a druga to luka w zabezpieczeniach zepsutej kontroli dostępu. Oba otrzymały ocenę ważności 9.8 i oba umożliwiają cyberprzestępcom dostęp do zasobów, które w innym przypadku byłyby niedostępne.
„Nieuwierzytelniony, złośliwy aktor może wstrzyknąć pliki do systemu operacyjnego urządzenia, którego dotyczy problem, co może skutkować zdalnym wykonaniem kodu” — wyjaśnił VMware.
Wrażliwe dane zagrożone
Pozostałe dwie luki to CVE-2022-31710 i CVE-2022-31711. Pierwsza z nich to luka w zabezpieczeniach związana z deserializacją, która umożliwia cyberprzestępcom manipulowanie danymi i przeprowadzanie ataków typu „odmowa usługi”. Otrzymał ocenę ciężkości 7.5. Ten ostatni to błąd ujawniający informacje z wynikiem 5.3, który można wykorzystać do kradzieży poufnych danych.
Aby zabezpieczyć się przed wadami, zaleca się użytkownikom natychmiastowe zastosowanie łatki i zabranie ze sobą punktów końcowych (otwiera się w nowej karcie) do wersji 8.10.2. Ci, którzy nie mogą teraz zastosować łatki, mogą również zastosować obejście, dla którego instrukcje można znaleźć tutaj (otwiera się w nowej karcie) .
Publikacja potwierdziła, że wady zostały pierwotnie odkryte przez Zero Day Initiative. Członkowie programu powiedzieli, że jak dotąd nie ma dowodów na nadużywanie tych wad w środowisku naturalnym.
„Nie jesteśmy świadomi żadnego publicznego kodu exploita ani aktywnych ataków wykorzystujących tę lukę” — powiedział Dustin Childs, szef działu świadomości zagrożeń w Trend Micro ZDI Rejestr . „Chociaż obecnie nie planujemy opublikowania dowodu koncepcji tego błędu, nasze badania nad VMware i innymi technologiami wirtualizacji są kontynuowane”.
vRealize Log Insight to narzędzie do zarządzania logami. Chociaż nie jest tak popularne, jak niektóre inne rozwiązania VMware, obecność firmy zarówno w sektorze publicznym, jak i prywatnym najprawdopodobniej sprawia, że wszystkie jej produkty są atrakcyjnym celem dla cyberprzestępców poszukujących luk w zabezpieczeniach.
Via: Rejestr (otwiera się w nowej karcie)