VMware وصله‌ هایی را برای آسیب‌ پذیری‌ های جدید منتشر می‌ کند


به این مطلب امتیاز دهید

VMware وصله‌ هایی را منتشر کرده است که حاوی دو نقص امنیتی است که بر Workspace ONE Access، Identity Manager و vRealize Automation تأثیر می‌ گذارد که می‌ توانند در شبکه‌های سازمانی درب پشتی مورد سوء استفاده قرار گیرند.

اولین مورد از دو نقص، که به عنوان CVE-2022-22972 شناخته می شود (امتیاز CVSS: 9.8)، مربوط به یک دور زدن احراز هویت است که می تواند یک هکر با دسترسی شبکه به رابط کاربری را قادر سازد بدون احراز هویت قبلی، دسترسی مدیریتی داشته باشد.

CVE-2022-22973 (امتیاز CVSS: 7.8)، باگ دیگر، مربوط به Privilege Escalation محلی است که می تواند یک مهاجم با دسترسی محلی را قادر سازد تا امتیازات را به کاربر “ROOT” در ابزارهای مجازی آسیب پذیر افزایش دهد.

VMware گفت: “بسیار مهم است که به سرعت اقداماتی را برای اصلاح یا کاهش این مشکلات در استقرارهای داخلی انجام دهید.”

این افشاگری به دنبال هشدار آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) مبنی بر اینکه گروه‌ های تهدید دائمی پیشرفته (APT) از CVE-2022-22954 و CVE-2022-22960 بوده است.

در این بیانیه آمده است: “یک کاربر تایید نشده با دسترسی شبکه به رابط وب از CVE-2022-22954 برای اجرای یک فرمان Shell دلخواه به عنوان کاربر VMware استفاده کرد.” سپس بازیگر از CVE-2022-22960 برای افزایش امتیازات کاربر (کاربر ROOT) استفاده کرد. با دسترسی root، هکر می‌ توانست لاگ‌ ها را پاک کند، مجوزها را افزایش دهد و به سمت سیستم‌ های دیگر حرکت کند.

علاوه بر این، مرجع امنیت سایبری خاطرنشان کرد که عوامل تهدید ابزارهای Post-Exploitation مانند پوسته وب دینگو J-spy را در حداقل سه سازمان مختلف مستقر کرده اند.

شرکت امنیت فناوری اطلاعات Barracuda Networks، در گزارشی مستقل، اعلام کرد که بلافاصله پس از اینکه کاستی‌ ها در 6 آوریل به اطلاع عموم رسید، تلاش‌ های کاوشگر مداومی را در فضای سایبری برای CVE-2022-22954 و CVE-2022-22960 مشاهده کرد.

گفته می شود که بیش از سه چهارم IP های مهاجم، یعنی حدود 76 درصد، از ایالات متحده منشأ گرفته اند، پس از آن بریتانیا (6 درصد)، روسیه (6 درصد)، استرالیا (5 درصد)، هند (2 درصد)، دانمارک (1%) و فرانسه (1%).

برخی از تلاش‌ های بهره‌ برداری ثبت‌ شده توسط این شرکت شامل اپراتورهای بات‌ نت می‌ شوند، که عوامل تهدید کننده از نقص‌ ها برای استقرار انواع بدافزار تکذیب سرویس Mirai (DDoS) استفاده می‌ کنند.

این مسائل همچنین CISA را بر آن داشته است تا یک دستورالعمل اضطراری صادر کند و از سازمان‌ های شعبه اجرایی غیرنظامی فدرال (FCEB) بخواهد تا به‌ روزرسانی‌ ها را تا ساعت 5 بعد از ظهر اعمال کنند.

آژانس گفت: «CISA انتظار دارد عوامل تهدید به سرعت توانایی بهره برداری از این آسیب پذیری های تازه منتشر شده را در همان محصولات تحت تأثیر VMware داشته باشند.

این وصله‌ ها کمی بیش از یک ماه پس از ارائه به‌ روزرسانی این شرکت برای حل یک نقص امنیتی مهم در محصول Cloud Director خود (CVE-2022-22966) می‌ رسند که می‌ تواند برای راه‌ اندازی حملات Remote Code Execution مورد استفاده قرار گیرد.

فقط VMware نیست که مورد انتقاد قرار گرفته است. این آژانس همچنین یک توصیه پیگیری در رابطه با بهره برداری فعال از CVE-2022-1388 (امتیاز CVSS: 9.8)، یک نقص Remote Code Execution که اخیراً بر دستگاه های BIG-IP فاش شده است، منتشر کرده است.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.