Workspace One Access e Identity Manager entre las salvas de parches de VMware

El proveedor de virtualización y nube VMware reveló ocho vulnerabilidades en cinco de sus productos esta semana e instó a los usuarios de Workspace One Access y todos sus productos que incluyen componentes de Identity Manager a parchear de inmediato. Tres de estas fallas fueron calificadas como críticas en la escala CVSSv3: dos de ellas contienen la posibilidad de ejecución remota de código, mientras que la tercera brinda a un actor malicioso los medios para eludir los sistemas de autenticación de usuarios VMware para realizar operaciones no autorizadas.

Una vulnerabilidad crítica, CVE-2022-22954, se centra en la inyección de patrones del lado del servidor en Workspace One Access e Identity Manager como un posible método de ejecución remota de código y solo requiere acceso a la red en la que se ejecutan los servicios. Otro RCE en Workspace One Access, Identity Manager y vRealize Automation se informa como CVE-2022-22957 y CVE-2022-22958, y otorga a un atacante control de acceso administrativo de los sistemas a través de un URI de conectividad de base de datos Java malicioso. La omisión de autenticación de usuario, etiquetada como CVE-2022-22955 y CVE-2022-22956, funciona mediante la explotación de puntos finales expuestos en el marco de autenticación de Workspace One Access.

Las vulnerabilidades críticas de seguridad deben eliminarse sin demora.

Según Ian McShane, vicepresidente de estrategia de Arctic Wolf, proveedor de soluciones de ciberseguridad, estas vulnerabilidades son realmente graves y subrayan la urgencia de aplicar parches, especialmente a los más críticos. "En cualquier negocio, controlar cualquier cambio debe ser una buena práctica", dijo. " Pero [les failles de sécurité critiques] requieren una acción inmediata y son los que deben eliminarse sin probar. Yaron Tal, fundador y CTO de Reposify, una startup israelí que se especializa en evaluaciones de amenazas basadas en IA, dijo que las vulnerabilidades de tipo RCE esencialmente permiten que los ciberdelincuentes se "propaguen" en sistemas comprometidos, robando credenciales, datos confidenciales y distribuyendo malware.

"Con RCE, el código externo sin privilegios puede ejecutarse de forma remota en cualquier máquina vulnerable en la red", dijo. “Los piratas entonces tienen las manos libres para llevar a cabo ataques con un impacto devastador. Entonces no hay respiro: los datos pueden perderse o ser robados, las comunicaciones pueden enviarse a una ubicación remota, los datos corporativos pueden copiarse en unidades privadas o la reputación corporativa puede dañarse por el contenido. explícito. Todos estos escenarios son posibilidades muy reales y legítimas.

A veces complicado tiempo de aplicación de parches

Según Ian McShane, la aplicación inmediata de parches puede ser difícil para algunas empresas, especialmente aquellas con acuerdos de nivel de servicio y contratos para un determinado nivel de disponibilidad, ya que es posible que deban reiniciar los sistemas afectados para repararlos. remendar "La organización de cada uno tiene diferentes entornos y diferentes necesidades", dijo.

Yaron Tal confirmó que las correcciones son urgentes y señaló que esto podría ser un inconveniente para los clientes de VMware. "No conocemos el mecanismo de aplicación de parches en detalle, pero lo que podemos decir con certeza es que los sistemas de gestión de acceso deben funcionar las 24 horas del día, los 7 días de la semana, y los parches no se pueden aplicar sin apagar el sistema", explica el líder de Reposify. La aplicación de parches generalmente se aplica en momentos predeterminados (como Navidad, Acción de Gracias) cuando el entorno del espacio de trabajo está tranquilo para minimizar el tiempo de inactividad tanto como sea posible. »

VMware le dio crédito a Steven Seeley del Qihoo 360 Vulnerability Research Institute por descubrir las fallas.