De gebruikers van VMware Identity Manager en Workspace One Access moeten hun applicaties snel bijwerken: aanvallers hebben het momenteel gemunt op kritieke beveiligingslekken en vallen met succes kwetsbare systemen aan. Updates zijn beschikbaar om te downloaden. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) waarschuwt bedrijven voor kwetsbaarheden in de virtualisatie-software van VMware. Het gaat om beveiligingsrisico’s in VMware Workspace ONE, Access, VMware vRealize en Automation (vRA).
Door de kwetsbaarheden in de genoemde VMware-producten kunnen cybercriminelen onder meer de authenticatie en beveiligingsmaatregelen van systemen omzeilen en toegang krijgen tot gegevens en verhoogde gebruikersrechten.
VMware heeft de aanvallen in een waarschuwingsbericht bevestigd. Een beveiligingsonderzoeker meldde op Twitter dat door succesvol misbruik van de kwetsbaarheid (CVE-2022-22954) momenteel crypto miners op computers kunnen komen. Theoretisch zouden aanvallers na een aanval ook systemen volledig kunnen overnemen.
Melden van beveiligingslekken is tweesnijdend zwaard
De onlangs door een beveiligingsonderzoeker gepubliceerde exploitcode kan de situatie nog verergeren. Dergelijke exploits zijn altijd een tweesnijdend zwaard: enerzijds zijn ze bedoeld om veiligheidsonderzoekers en softwarefabrikanten te helpen de doeltreffendheid van beveiligingspatches te controleren, maar aanvallers kunnen de code ook voor hun eigen doeleinden misbruiken.
Sinds begin april zijn beveiligingsupdates beschikbaar. VMware gaf eerder deze maand al een eerste waarschuwing en patches voor enkele kritieke beveiligingslekken. VMware is voor cybercriminelen een interessant doelwit nu steeds meer bedrijven hun serveromgeving virtualiseren.
Beveiligingsrisicos in Log4j
Eind 2021 waarschuwde security-experts voor beveiligingsrisico’s in de Log4j-tool die wordt gebruikt om in Java-applicaties in te loggen.
VMware dichtte beveiligingsleemten in verschillende producten, waarvan sommige kritiek zijn. Voor vele gaten zijn er updates beschikbaar, maar voor sommigen moeten beheerders manuele tegenmaatregelen nemen om hun netwerken te beschermen tegen succesvolle cyberaanvallen. Daaronder zijn reparaties tegen kwetsbaarheden die worden uitgebuit door de onlangs ontdekte Spring4Shell-exploit.
Spring4Shell
De beveiligingen tegen de onlangs ontdekte kwetsbaarheid, waardoor aanvallers kwaadaardige code vanaf het netwerk zouden kunnen injecteren, zijn van invloed op de VMware Tanzu Application Service for VMs (TAS), VMware Tanzu Operations Manager (Ops Manager) en VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) producten (CVE-2022-22965, CVSS 9.8, critical).
Hier heeft het bedrijf tot nu toe alleen patches voor TAS-updates verstrekt. In het beveiligingsbericht verwijst VMware naar instructies voor Ops Manager en TAS, waarop de update nog niet kan worden geïnstalleerd, en voor TKGI, over hoe beheerders tegenmaatregelen kunnen nemen om zich tegen aanvallen te beschermen.
Eerdere beveiligingswaarschuwingen van VMWare
Maar VMware heeft ook de eerder genoemde beveiligingswaarschuwing afgegeven voor andere producten, omdat sommige daarvan lacunes vertonen die een kritiek risico vormen. De fabrikant noemt VMware Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation en Suite Lifecycle Manager.
Aanvallers zouden onder andere kwaadaardige code kunnen inbrengen en uitvoeren als gevolg van een kwetsbaarheid aan de serverzijde die het binnensmokkelen van templates mogelijk maakt (CVE-2022-22954, CVSS 9.8, risk critical).
Twee andere kwetsbaarheden in de producten maakten het mogelijk de authenticatie te omzeilen. De fout zat in het OAuth2 ACS-framework, omdat eindpunten daarvandaan ten onrechte bereikbaar waren (CVE-2022-22955, CVE-2022-22956; CVSS 9.8, kritiek). Aangemelde gebruikers met beheerdersrechten hadden ook de deserialisatie van niet-vertrouwde gegevens met een gemanipuleerde JDBC URI kunnen activeren en zo kwaadaardige code kunnen invoeren (CVE-2022-22957, CVE-2022-22958; CVSS 9.1, kritiek).
Andere kwetsbaarheden
Door een kwetsbaarheid met cross-site request forgery konden kwaadwillenden gebruikers verleiden tot het onopzettelijk verifiëren van een kwaadaardige JDBC URI (CVE-2022-22959, CVSS 8.8, hoog). Bovendien konden lokale gebruikers hun privileges uitbreiden naar root-privileges (CVE-2022-22960, CVSS 7.8, hoog).
Door de laatste kwetsbaarheid zouden aanvallers ongeoorloofde informatie kunnen verkrijgen, met name de hostnaam van het doelsysteem. Dit zou het mogelijk maken om slachtoffers aan te vallen (CVE-2022-22961, CVSS 5.3, gemiddeld). VMware biedt updates voor alle producten die door deze zwakke plekken zijn getroffen.
VMware Horizon voor Linux
Het bedrijf heeft een laatste paar beveiligingslekken gemeld voor de VMware Horizon-client voor Linux. De toegangsrechten tot een symbolische koppeling waren onjuist, zodat een misbruiker de locatie van de uitwisselingsmap kon wijzigen en bijvoorbeeld naar bestanden vanaf de root kon doorverwijzen.
Dit zou zijn rechten in het systeem kunnen uitbreiden (CVE-2022-22962, CVSS 7.3, hoog). Via een kwetsbaar .conf-bestand konden gebruikers met een laag machtigingsniveau ook hogere rechten op het systeem krijgen (CVE-2022-22964, CVSS 7.3, hoog).
Voor de meeste producten stelt de fabrikant updates ter beschikking die de bugs in de software wegwerken. Waar dit nog niet het geval is, verwijzen de beveiligings-mededelingen naar tegenmaatregelen die IT-managers onmiddellijk moeten plannen en uitvoeren in plaats van ze bij te werken.