Scopri i nostri percorsi di Hacking e approfitta dell'imperdibile promozione! Scopri di più
Estate torrida in tutti i sensi: anche nel mondo della cybersecurity si respira con affanno, e non è per il solo caldo.
Tra i big vendor alle prese con problemi di sicurezza, questa volta tocca a VMWare che ha realizzato una serie di correzioni in tutta una serie di suoi prodotti, un lavoro intenso a correzione di vulnerabilità serie.
Se ne ha notizia con il bollettino VMSA-2022-0021 (https://www.vmware.com/security/advisories/VMSA-2022-0021.html) da parte della softwarehouse di Palo Alto in cui si indicano ben 10 CVE con un intervallo di criticità tra il 4.7 e il 9.8. Diversi i prodotti coinvolti: VMware Workspace ONE Access (Access), VMware Workspace ONE Access Connector (Access Connector), VMware Identity Manager (vIDM), VMware Identity Manager Connector (vIDM Connector), VMware vRealize Automation (vRA), VMware Cloud Foundation e vRealize Suite Lifecycle Manager.
La più grave delle vulnerabilità (CVSSv3 9.8) è la CVE-2022-31656, una vulnerabilità che consente di aggirare l’autenticazione dell’interfaccia utente in VMware Workspace ONE Access, Identity Manager e vRealize Automation, ottenendone privilegi amministrativi.
Non meno gravi (CVSSv3 8.0) la CVE-2022-31658 e CVE-2022-31659, due vulnerabilità che consentono l’esecuzione di codice remoto (RCE) nei medesimi software quando un attaccante possieda un accesso via rete e accesso amministrativo. La prima è consentita mediante JDBC Injection, la seconda mediante SQL Injection. Come è evidente queste vulnerabilità sono fortemente legate allo sfruttamento della precedente, creando così complessivamente una vulnerabilità composta di natura micidiale.
Simile, ma valutata con CVSSv3 7.6, la vulnerabilità CVE-2022-31665 consente mediante JDBC Injection l’esecuzione di codice arbitrario da remoto ad un agente che disponga di accesso di rete e privilegio amministrativo.
Sempre gli stessi software non se la cavano bene dall’altra parte del perimetro, quando un attore di minaccia abbia un accesso locale: in questo caso le vulnerabilità CVE-2022-31660 e CVE-2022-31661 e CVE-2022-31664 (CVSSv3 7.8) consentono a chi possiede un accesso locare di elevare il privilegio all’utente ‘root’.
Terminano il lungo elenco vulnerabilità di gravità minore quali la CVE-2022-31657 (CVSSv3 5.9), la CVE-2022-31662 (CVSSv3 5.3) e la CVE-2022-31663 (CVSSv3 4.7).
La CVE-2022-31657 consente ad un attore di minaccia con accesso via rete ad istanze di VMware Workspace ONE Access o Identity Manager di poter ridirigere un utente autenticato verso un dominio arbitrario (evidentemente malevolo) mediante una URL Injection.
La CVE-2022-31662 è una vulnerabilità di tipo path traversal per VMware Workspace ONE Access, Identity Manager, Connectors e vRealize Automation: tramite questa un attore di minaccia può accedere a file arbitrari nelle piattaforme.
Infine la CVE-2022-31663 è una vulnerabilità presente in VMware Workspace ONE Access, Identity Manager e vRealize Automation di tipo XSS riflesso. A causa di una impropria sanificazione dell’input utente è possibile ad un agente di minaccia includere codice javascript arbitrario nella finestra di un utente che acceda ai prodotti vulnerabili.
Insomma, anche questa estate occorre vigilare sulla sicurezza dei prodotti, e per tutti coloro che abbiano un prodotto VMWare affetto da queste vulnerabilità è opportuno correre celermente ai ripari: quindi niente riposo neanche per noi.
