Konsept Kanıtı Yayım Kodu, birkaç VMware ürününde kimlik doğrulaması olmadan yönetici erişim sağlayan bir güvenlik açığı için yayınlanmak üzere.
CVE-2022-22972 olarak tanımlanan güvenlik sorunu geçen Çarşamba günü, yöneticilerin yamayı yüklemesi veya hafifletme uygulaması için acil bir uyarı ile birlikte bir düzeltme aldı.
18 Mayıs'taki bir danışmanlıkta VMware, CVE-2022-22972'den ayrılmadan ayrılmak için güvenlik etkilerinin, sorunun "9.8 maksimum CVSSV3 baz skoruyla kritik şiddet aralığında" olduğu için ciddi olduğu konusunda uyardı.
Kusur, VMware Workspace One Access, Identity Manager ve Vrealize Otomasyonunu etkiler. Şirket, cihaz arayüzüne erişimi olan saldırganların yerel etki alanı kullanıcılarına ulaşmak için kimlik doğrulamasını atlamak için kullanabileceği konusunda uyarıyor.
Saldırı Yüzey Değerlendirme Şirketi Horizon3'teki güvenlik araştırmacıları bugün CVE-2022-22972 için Çalışma Konsept Kanıtı (POC) istismar kodu oluşturmayı başardıklarını ve muhtemelen hafta sonunda bir teknik rapor yayınlayacağını duyurdu.
Henüz herhangi bir teknik ayrıntı yayınlamadılar, ancak plan, saldırı vektörünü gösteren istismar kodunu yayınlamayı içeriyor.
Gelecek bir alay olarak, Horizon3'ün saldırı ekibi, web giriş arayüzü aracılığıyla hiçbir kullanıcı imzalanmamış olmasına rağmen, bir VMware Workspace One örneğine erişim kazandıklarını gösteren bir ekran görüntüsü yayınladı.
VMware Workspace One, şirketlerin kullanıcı cihazlarını ve uygulamalarını (kişisel veya şirkete ait) dijital bir ortama entegre ederek yönetmelerine olanak tanır. Platform ayrıca kullanıcıların kurumsal kaynaklara güvenli bir şekilde erişmelerini sağlamak için erişim kontrolü sağlar.
Horizon3, BleepingComputer'a raporlarındaki teknik ayrıntıların, "bir saldırganın daha önce bu kod yolunu nasıl istismar etmiş olabileceğini" göstermek için mevcut yamanın bir analizini içereceğini söyledi.
Bu güvenlik açığından yararlanan vahşi bir saldırı raporu olmasa da, araştırmacılar motive edilmiş saldırganların zaten bir istismar geliştirmiş olabileceğini ve kullanmaya başladığını söylüyor.
Araştırmacılar, kodu geliştirmenin bir hafta sürdüğünü ve minimal bir sürümünü yayınlamayı planladıklarını söyledi.
VMware, tüm yerel kullanıcıları ve yöneticilerin devre dışı bırakılmasını, yalnızca sağlanan kullanıcıları aktif bırakmanızı önerir. Bununla birlikte, bu sadece bir çözümdür ve saldırganların CVE-2022-22972'yi kullanma riskini tam olarak azaltmaz.
Güvenlik açığının şiddeti, aynı gün VMware'de yayınlanan bir acil durum direktifinde ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) tarafından daha da vurgulanmıştır.
Şu anda, tehdit aktörlerinin bu güvenlik kusurundan yararlandıklarına dair bir kamuoyu bilgisi yok. Bununla birlikte, tehdit aktörleri geçmişte, güncellemeler ortaya çıktıktan kısa bir süre sonra ve daha da fazla, teknik ayrıntılar ortaya çıktığında sorunlardan yararlanmak için hızlı olduklarını göstermiştir.
VMware'in Nisan ayında yamalandığı bir dizi kritik güvenlik açığı, şirketin kripto para madencileri ve arka fırınları yüklemek için bir uyarı ve ilgili düzeltmeler yayınladıktan sadece 48 saat sonra vahşi doğada kullanılmaya başladı.
Horizon3 daha önce yayınladı CVE-2022-1388 için istismar kodu-F5 BIG-IP ağ cihazlarında uzaktan kod yürütülmesine izin veren kritik bir güvenlik açığı. Tıpkı VMware güvenlik açığı için yaklaşan istismar sürümünde olduğu gibi, araştırmacılar, yöneticilerin savunmasız F5 aletlerini yamalarını şiddetle tavsiye ettiler.
GÜNCELLEME [24 Mayıs 17:41 EST]: Makale, yayından sonra alınan Horizon3'ün ayrıntılarıyla güncellendi.
VMware Yamaları Kritik Auth Bypass kusurunu birden çok üründe
Bilgisayar korsanları Kritik VMware CVE-2022-22954 Bug, Şimdi Yama'dan İstismar
Sahte Windows, Cobalt Strike ile Hedef Infosec topluluğundan yararlanıyor
VMware Yamaları Spring4Shell RCE Kusurlu Birden Fazla Ürünlerde
Microsoft Acil Durum Güncellemeleri Windows Reklam Kimlik Doğrulama Sorunlarını Düzelt
Kaynak: Bleeping Computer