El código de explotación de prueba de concepto ahora está disponible públicamente en línea para una falla de seguridad de omisión de autenticación crítica en varios productos de VMware que permite a los atacantes obtener privilegios de administrador.
Hace una semana, VMware lanzó actualizaciones para abordar la vulnerabilidad (CVE-2022-31656) que afectaba a VMware Workspace ONE Access, Identity Manager y vRealize Automation.
El mismo día se corrigieron muchas otras fallas, incluida una falla de inyección SQL de alta gravedad (CVE-2022-31659) que permite a los atacantes remotos obtener la ejecución remota de código.
Hoy, VMware “confirmó que el código malicioso que puede explotar CVE-2022-31656 y CVE-2022-31659 en los productos afectados está disponible públicamente” en una actualización del aviso original.
El investigador de seguridad de VNG Security, Petrus Viet, quien descubrió e informó sobre la falla, ahora ha publicado un exploit de prueba de concepto (PoC) y un análisis técnico detallado para esta falla hoy.
Anunció la semana pasada que un PoC de CVE- 2022-22972 estaría disponible esta semana.
Todavía no explotado en la naturaleza
“Es extremadamente importante que tome medidas rápidamente para parchear o mitigar estos problemas en las implementaciones locales”, advirtió Bob Plankers, arquitecto de cumplimiento y seguridad de infraestructura en la nube en VMware, la semana pasada.
“Si su organización utiliza metodologías ITIL para la gestión de cambios, esto se consideraría un cambio de ’emergencia'”.
Afortunadamente, VMware dice en un aviso por separado que no hay evidencia de que estos graves errores de seguridad estén siendo explotados en ataques.
La empresa proporciona enlaces de descarga de parches e instrucciones detalladas de instalación en su sitio web de base de conocimiento.
También compartió una solución temporal para aquellos que no podían parchear los dispositivos vulnerables de inmediato, lo que les obligaba a deshabilitar a todos los usuarios, excepto a un administrador aprovisionado.
Dado que los servidores de VMware son un objetivo atractivo, todos los dispositivos vulnerables deben actualizarse de inmediato o desconectarse para evitar compromisos, ya que es probable que los actores de amenazas pronto desarrollen sus propias vulnerabilidades para usar en los ataques.
De lo contrario, en última instancia, se producirán infracciones en la red y ataques más importantes, incluida la implementación de ransomware y el robo de datos.
En mayo, VMware parcho una vulnerabilidad casi identica , otra debilidad de omisión de autenticación (CVE-2022-22972) encontrada por Bruno López de Innotec Security y utilizada por Viet como inspiración mientras investigaba la vulnerabilidad CVE-2022-31656.
Fuente: https://www.bleepingcomputer.com/news/security/vmware-warns-of-public-exploit-for-critical-auth-bypass-vulnerability/
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.