مرکز CISA ایالات متحده تا دوشنبه، 2 خرداد به سازمانهای فدرال این کشور مهلت داده تا یا محصولات آسیبپذیر VMware خود را به آخرین نسخه ارتقا دهند و یا آنها را از شبکه جدا کنند. CISA، ریسک بالای حملات احتمالی مهاجمان از طریق بهرهجویی از آسیبپذیرییهای VMware را دلیل اتخاد این تصمیم اعلام کرده است.
هشدار CISA در حالی صادر شده که روز گذشته شرکت VMware دو آسیبپذیری زیر را ترمیم کرد:
- CVE-2022-22972 – ضعفی حیاتی از نوع «عبور از سد سازوکار اصالتسنجی» (Authentication Bypass) با شدت حساسیت 9.8 است. بهرهجویی موفق از آن، مهاجم با دسترسی شبکهای به UI را بدون نیاز به هر گونه احراز هویت قادر به اجرای تقریباً هر اقدامی میکند.
- CVE-2022-22973 – ضعفی از نوع «ترفیع دسترسی» (Elevation of Privilege) با شدت حساسیت 7.8 است و سوءاستفاده از آن دسترسی مهاجم را تا سطح root ارتقا میدهد.
سه محصول زیر از CVE-2022-22972 متأثر میشوند:
- Workspace ONE Access
- VMware Identity Manager (vIDM)
- vRealize Automation (vRA)
علاوه بر سه محصول بالا، دو محصول زیر نیز در برابر CVE-2022-22973 آسیبپذیر گزارش شدهاند:
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager
در فروردین ماه سال جاری هم VMware دو آسیبپذیری حیاتی با شناسههای CVE-2022-22954 و CVE-2022-22960 را در Workspace ONE Access و Identity Manager ترمیم کرد. CVE-2022-22954، ضعفی از نوع «اجرای از راه دور کد» (RCE) و CVE-2022-22960، یک آسیبپذیری از نوع «ترفیع دسترسی» است. در مدتی کوتاه پس از انتشار اصلاحیه، اکسپلویت گسترده این آسیبپذیریها توسط مهاجمان آغاز شد.
همچون همیشه، اعمال فوری بهروزرسانیهای امنیتی به تمامی راهبران محصولات آسیبپذیر توصیه اکید میشود.
توصیهنامه 28 اردیبهشت VMware در لینک زیر قابل مطالعه است:
هشدار فوری CISA نیز در لینک زیر در دسترس است: