VMware corrige bug crítico de desvio de autenticação

VMware corrige bug crítico de desvio de autenticação ‘make me admin‘, além de outras nove falhas.

A VMware corrigiu uma vulnerabilidade crítica de desvio de autenticação que atinge 9,8 de 10 na escala de gravidade CVSS e está presente em vários produtos.

Essa falha é rastreada como CVE-2022-31656 e afeta o Workspace ONE Access da VMware, o Identity Manager e o vRealize Automation. Foi resolvido junto com nove outras falhas de segurança neste lote de patches , publicado na terça-feira.

De acordo com a VMware: “Um agente mal-intencionado com acesso de rede à interface do usuário pode obter acesso administrativo sem a necessidade de autenticação“. Uma boa maneira de obter controle de nível de administrador sobre um sistema remoto.

A vulnerabilidade crítica é semelhante, ou talvez até uma variante ou desvio de patch, de uma vulnerabilidade de desvio de autenticação crítica anterior (CVE-2022-22972) que também classificou 9,8 em gravidade e VMware corrigiu em maio. Logo após a emissão dessa atualização, a CISA exigiu que as agências governamentais dos EUA cancelassem os produtos VMware afetados se os patches não pudessem ser aplicados.

Embora o gigante da virtualização não esteja ciente de nenhuma exploração em estado selvagem (pelo menos até agora) da vulnerabilidade mais recente, “é extremamente importante que você tome medidas rapidamente para corrigir ou mitigar esses problemas em implantações locais“, VMware alertou em um comunicado. “Se sua organização usa metodologias ITIL para gerenciamento de mudanças, isso seria considerado uma mudança de ’emergência’.” 

Além do titã do software e pesquisadores de segurança de terceiros pedindo às organizações que corrijam imediatamente, Petrus Viet, o caçador de bugs que encontrou e relatou a falha, disse que em breve lançará uma exploração de prova de conceito para o bug. Então, para ser perfeitamente claro: pare o que você está fazendo e avalie imediatamente e, se necessário, corrija essa falha antes que os criminosos a encontrem e a explorem, o que costumam fazer com as vulnerabilidades VMware.

Claire Tills, da Tenable, engenheira de pesquisa sênior da equipe de resposta de segurança da empresa, observou que o CVE-2022-31656 é especialmente preocupante, pois um criminoso poderia usá-lo para explorar outros bugs que a VMware divulgou na campanha de segurança desta semana.

“É crucial observar que o desvio de autenticação obtido com o CVE-2022-31656 permitiria que invasores explorassem as falhas de execução remota de código autenticado abordadas nesta versão”, escreveu ela .

Ela está se referindo a duas falhas de execução remota de código (RCE), CVE-2022-31658 e CVE-2022-31659, também descobertas por Petrus Viet que permitiriam que um invasor com acesso à rede em nível de administrador implante remotamente código malicioso na máquina da vítima. Assim, alguém poderia usar o ‘31656 para fazer login com poderes administrativos e, em seguida, explorar os outros bugs para pwn um dispositivo.

Ambos, ‘31658 e ‘31659, são classificados como “importantes” pela VMware e classificados com uma pontuação CVSS de 8,0. E semelhante à vulnerabilidade crítica que pode ser usada em conjunto com esses dois RCE, ambos afetam os produtos VMware Workspace ONE Access, Identity Manager e vRealize Automation.

O projeto rsync lançou atualizações para corrigir uma vulnerabilidade, rastreada como CVE-2022-29154, que poderia permitir que criminosos escrevessem arquivos arbitrários dentro de diretórios de pares conectados.
O Rsync é uma ferramenta para transferir e sincronizar arquivos entre máquinas remotas e locais, e explorar essa vulnerabilidade pode permitir que “um servidor rysnc malicioso (ou invasor Man-in-The-Middle) sobrescreva arquivos arbitrários no diretório de destino do cliente rsync e subdiretórios“, de acordo com os pesquisadores Ege Balci e Taha Hamad, que descobriram o bug.
Isso significa que um servidor malicioso ou MITM pode substituir, digamos, o ssh/authorized_keysarquivo de uma vítima.

Embora essas três vulnerabilidades VMware mereçam prioridade máxima de correção, existem alguns outros bugs desagradáveis ​​no grupo. Isso inclui três vulnerabilidades de escalonamento de privilégios locais (CVE-2022-31660, CVE-2022-31661 e CVE-2022-31664) no VMware Workspace ONE Access, Identity Manager e vRealize Automation.

Todos os três receberam pontuações CVSS de 7,8 e explorações bem-sucedidas permitiriam que criminosos com acesso local escalassem privilégios para fazer o root – e, a partir daí, praticamente fariam o que quisessem, como roubar informações, instalar um backdoor, injetar um trojan ou desligar o sistema inteiramente.

O pesquisador de segurança do Rapid7, Spencer McIntyre, relatou duas dessas duas falhas (CVE-2022-31660 e CVE-2022-31661) ao VMware, enquanto Steven Seeley, do Qihoo 360 Vulnerability Research Institute, encontrou o CVE-2022-31664.

Além disso, a VMware divulgou outra vulnerabilidade RCE no VMware Workspace ONE Access, Identity Manager e vRealize Automation. Este, rastreado como CVE-2022-31665, recebeu uma pontuação CVSS de 7,6 e requer acesso de administrador para acionar a execução remota de código.

Fonte: The Register