VMware heeft klanten gewaarschuwd voor meerdere kwetsbaarheden in meerdere producten. Deze kwetsbaarheden zouden hackers kunnen gebruiken voor remote code execution (RCE)-aanvallen.

De kwetsbaarheden treffen een reeks producten. Dit zijn onder meer VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation en VMware vRealize Suite Lifecycle Manager.

VMware geeft aan dat bedrijven op de gevonden kwetsbaarheden directe actie moeten ondernemen. Wel stelt de techgigant dat aangezien het meerdere omgevingen betreft, klanten goed moeten afwegen aan welk patchmoment zij voorrang geven. Dit omdat de getroffen oplossingen verschillende securitycontrol- en/of ‘in-depth’-verdedigingstechnologie hebben voor het tegengaan van risico’s.

Concreet gaat het om een server-side template-injectie RCE-kwetsbaarheid (CVE-2022-22954), twee OAuth2 ACS authenticatie-bypass kwetsbaarheden (CVE-2022-22955, CVE-2022-22956) en twee JDBC-injectie RCE-kwetsbaarheden (CVE-2022-22957, CVE-2022-22958). Op dit moment zouden de kwetsbaarheden nog niet zijn aangevallen.

Overige kwetsbaarheden

Daarnaast geeft VMware aan dat het onlangs ook een aantal hoge risico- en medium bugs heeft gepatcht die mogelijk konden worden gebruikt voor zogenoemde cross-site request forgery (CSRF)-aanvallen (CVE-2022-22959), het escaleren van privileges (CVE-2022-22960) en het krijgen van toegang zonder autorisatie (CVE-2022-22961).

Tijdelijke workarounds

Naast patches biedt VMware ook een set van workarounds voor beheerders. Vooral voor klanten die hun systemen niet direct kunnen patchen, maar wel een tijdelijke oplossing willen. Met een stappenplan kunnen beheerders voor deze workarounds een Python-script draaien op hun virtuele appliances. Wel geeft de techgigant hierbij als disclaimer dat voor een complete verwijdering van de aangetroffen kwetsbaarheden patches moeten worden geïnstalleerd.

Patches voor Spring4Shell RCE

Bovengenoemde kwetsbaarheden komen bovenop de Spring4Shell RCE-kwetsbaarheden die recent zijn ontdekt en ook VMware-oplossingen als doel hebben. Voor deze kwetsbaarheden in VMware Tanzu Application Service for VMs, VMware Tanzu Operations Manager en VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) zijn nu ook patches uitgebracht.

Tip: ‘Spring4Shell-kwetsbaarheid flink uitgebuit, vooral in Europa’