VMware lanceert patches voor twee kritieke kwetsbaarheden in Workspace ONE Access, vIDM en vRA. Het Nederlandse NCSC (Nationaal Cyber Security Centrum) waarschuwde voor de ernst van het probleem. De dreiging is dusdanig groot dat alle Amerikaanse overheidsinstanties door CISA zijn verplicht om de patches vóór 23 mei toe te passen.

De kwetsbaarheden zijn van invloed op Workspace ONE Access, VMware Identity Manager (vIDM), vRealize Automation (vRA) en meerdere Cloud Foundation-oplossingen. Gebruik je een van de kwetsbare producten, dan is het raadzaam om zo snel mogelijk naar de nieuwste versie te updaten. Je vindt de patches op de overzichtspagina van VMware, onder het kopje ‘Response Matrix’.

Hoe werkt het?

De oplossingen lopen risico door twee afzonderlijke kwetsbaarheden. De eerste kwetsbaarheid (CVE-2022-22972) ontving een hoge CVSS-score van 9,8. De kwetsbaarheid is alleen te misbruiken met netwerktoegang tot de UI van de kwetsbare oplossingen. Heeft een aanvaller netwerktoegang, dan is het mogelijk om verificaties te omzeilen en als administrator in systemen binnen te komen.

De tweede kwetsbaarheid (CVE-2022-22973) ontving een lagere CVSS-score van 7,8. De kwetsbaarheid is alleen te misbruiken met lokale toegang tot Workspace ONE Access of vIDM. Vandaaruit kan een aanvaller root privileges toewijzen, wat een scala aan aanvallen mogelijk maakt.

Boetes voor overheidsinstanties

Heb je momenteel geen tijd of ruimte voor een update, dan kan het helpen om de oplossing(en) in de tussentijd met een firewall af te schermen. “Of firewalls in uw omgeving een geschikte maatregel zijn voor de situatie moeten u en uw securitypersoneel zelf beoordelen”, deelt de organisatie.

Voor Amerikaanse overheidsinstanties zijn firewalls overigens geen optie. Zij zijn door cybersecurityautoriteit CISA verplicht om vóór 23 mei naar de nieuwste versies te updaten of de kwetsbare producten uit hun omgeving te verwijderen. Instanties die met kwetsbare versies blijven werken kunnen op boetes rekenen. Ook NCSC, de nationale securityautoriteit van Nederland, waarschuwde voor de ernst van het probleem.

De reden voor het advies heeft te maken met CVE 2022-22954 en CVE 2022-22960, twee recente kwetsbaarheden in VMware-producten. Minder dan 48 uur na VMware’s aankondiging begonnen cybercriminelen verouderde versies aan te vallen.

VMware probeert tijdens aankondigingen zo min mogelijk details over kwetsbaarheden te delen, aangezien cybercriminelen de informatie kunnen gebruiken als handleiding voor aanvallen. In het geval van CVE 2022-22954 en CVE 2022-22960 pasten cybercriminelen reverse engineering toe op de patches. Daarmee leerden de aanvallers precies hoe de kwetsbaarheden misbruikt konden worden.

CISA is bang voor een herhaling van het incident. Ook de nieuwe updates zijn door cybercriminelen te ontleden. Naar verwachting liggen de eerste slachtoffers binnen een paar uur onder vuur.

Tip: Security-industrie is fundamenteel stuk: baseer investeringen op hard bewijs