Les agences fédérales américaines ont reçu pour instruction de corriger immédiatement ou de désactiver temporairement un ensemble de produits d’entreprise de VMware en réponse à « l’exploitation active et attendue de multiples vulnérabilités ».
Une directive d’urgence de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis demande instamment l’application de correctifs à VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation et vRealize Suite Lifecycle Manager.
Si une correction rapide n’est pas pratique, les agences fédérales sont chargées de supprimer les instances de produits vulnérables des réseaux d’agences.
agis rapidement
Les attaquants ont procédé à une ingénierie inverse des vulnérabilités logicielles récemment divulguées dans les différents produits VMware afin de développer des exploits et d’attaquer des systèmes non corrigés.
La tactique a déjà abouti à une exploitation active de CVE-2022-22954 et CVE-2022-22960, avec d’autres abus dans le même sens susceptibles de suivre.
VOUS POURRIEZ AUSSI AIMER Sites Web populaires divulguant les données de messagerie des utilisateurs vers des domaines de suivi Web
« Sur la base de cette activité, CISA s’attend à ce que les cyber-acteurs malveillants développent rapidement une capacité d’exploitation de CVE-2022-22972 et CVE-2022-22973, qui ont été divulgués par VMware le 18 mai 2022 », a déclaré un alerte de l’agence met en garde.
Dans un avis connexe émis par VMware mercredi 18 mai, le fournisseur a expliqué qu’il avait corrigé une vulnérabilité de contournement d’authentification (CVE-2022-22972) et une vulnérabilité d’élévation de privilèges locaux (CVE-2022-22973) impliquant VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation et vRealize Suite Lifecycle Manager.
Le CVE-2022-22954 La vulnérabilité déjà attaquée activement implique une vulnérabilité d’injection de modèle côté serveur dans VMware Workspace ONE Access et Identity Manager qui pose un risque d’exécution de code à distance. La faille a obtenu un score CVSS de 9,8, proche du maximum possible.
Le CVE-2022-22960 implique une vulnérabilité d’escalade de privilèges moindre mais toujours à haut risque impliquant VMware Workspace ONE Access, Identity Manager et vRealize Automation.
Les deux défauts sont venus sous attaque activequelques jours seulement après la publication des correctifs, le fournisseur de sécurité Barracuda Networks rapporte :
La grande majorité des attaques provenaient géographiquement des États-Unis, la plupart d’entre elles provenant de centres de données et de fournisseurs de cloud. Bien que les pics proviennent en grande partie de ces plages d’adresses IP, il existe également des tentatives d’arrière-plan cohérentes à partir de mauvaises adresses IP connues en Russie. Certaines de ces adresses IP effectuent des analyses de vulnérabilités spécifiques à intervalles réguliers, et il semble que les vulnérabilités VMware aient été ajoutées à leur liste tournante habituelle de sondes Laravel/Drupal/PHP.
Le mobile des attentats reste flou.
Bien que l’avis d’action d’urgence inhabituel soit principalement destiné aux agences fédérales américaines, la CISA exhorte les autres entreprises à mettre à jour ou à supprimer les installations des produits concernés de leurs réseaux.
Les installations vulnérables et accessibles sur Internet des produits concernés doivent être traitées comme déjà potentiellement compromises, ajoute CISA.
