مجموعه VMware و کارشناسان از کاربران میخواهند چندین محصول را که تحت تأثیر یک آسیبپذیری حیاتی بای پس احراز هویت قرار گرفتهاند پچ کنند، که میتواند به مهاجم اجازه دسترسی مدیریتی و ادمین به سیستم و همچنین سواستفاده از سایر نقصها را بدهد.
به گفته محققان، این باگ که با نام CVE-۲۰۲۲-۳۱۶۵۶ پیگیری میشود، امتیاز 9.8 را در CVSS کسب کرد و یکی از معدود اصلاحاتی است که این شرکت در محصولات مختلف در بروزرسانی منتشر شده در روز سهشنبه برای نقصهایی که به راحتی میتواند به یک زنجیره سواستفاده تبدیل شود، انجام داده است.
باگ CVE-۲۰۲۲-۳۱۶۵۶ نیز مطمئناً خطرناکترین عضو این آسیبپذیریها است، و احتمالاً بیشتر خواهد شد زیرا محققی که آن را کشف کرده است (Petrus Viet از VNG Security) در توییتی قول داده است که یک سواستفاده proof-of-concept برای این باگ به زودی مطرح میشود.
به گفته محققان، این امر هماکنون به نیاز سازمانهای آسیبدیده از این نقص برای اصلاح فوریت میبخشد.
کلر تیلیس، مهندس تحقیقات ارشد تیم پاسخگویی امنیتی Tenable در ایمیلی به Threatpost گفت: «با توجه به شیوع حملاتی که آسیبپذیریهای VMware را هدف قرار میدهند و proof-of-concept آینده، سازمانها باید پچ نمودن CVE-۲۰۲۲-۳۱۶۵۶ را در اولویت قرار دهند. به عنوان یک دور زدن احراز هویت، بهرهبرداری از این نقص این احتمال را ایجاد میکند که مهاجمان میتوانند زنجیرههای سواستفاده بسیار دردسرسازی را ایجاد کنند. »
پتانسیل برای زنجیره حمله
به طور خاص، CVE-۲۰۲۲-۳۱۶۵۶ یک آسیبپذیری بای پس احراز هویت است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار میدهد.
طبق پست وبلاگی که تیلیس منتشر کرد، این اشکال بر کاربران دامنه محلی تأثیر میگذارد و مستلزم آن است که یک مهاجم راه دور باید به یک رابط کاربری آسیبپذیر دسترسی داشته باشد. او گفت، هنگامی که مهاجم به این امر دست یابد، میتواند از این نقص برای دور زدن احراز هویت و دسترسی ادمین استفاده کند.
تیلیس مشاهده کرد، علاوه بر آن، این آسیبپذیری دروازهای برای بهرهبرداری از سایر نقصهای اجرای کد از راه دور (RCE) است که با انتشار این هفته VMWare ( CVE-۲۰۲۲-۳۱۶۵۸ و CVE-۲۰۲۲-۳۱۶۵۹ ) برای تشکیل یک زنجیره حمله مورد بررسی قرار گرفت.
باگ CVE-۲۰۲۲-۳۱۶۵۸ یک آسیبپذیری RCE تزریقی JDBC است که VMware Workspace ONE Access، Identity Manager و vRealize Automation را تحت تأثیر قرار میدهد که امتیاز «مهم» را در CVSS-8.0 کسب کرده است. این نقص به یک عامل مخرب با دسترسی ادمین و شبکه اجازه میدهد تا RCE را راهاندازی کند.
باگ CVE-۲۰۲۲-۳۱۶۵۹ یک آسیبپذیری RCE تزریق SQL است که VMware Workspace ONE Access and Identity Manager را تحت تأثیر قرار میدهد و همچنین امتیاز 8.0 را با مسیر حمله مشابه CVE-۲۰۲۲-۳۱۶۵۸ کسب کرده است.
شش اشکال دیگر پچ شده در این بروزرسانی شامل یک اشکال RCE دیگر (CVE-۲۰۲۲-۳۱۶۶۵) است که تحت عنوان مهم رتبهبندی شده است. دو آسیبپذیری افزایش اختیار (CVE-۲۰۲۲-۳۱۶۶۰ و CVE-۲۰۲۲-۳۱۶۶۱) بهعنوان مهم رتبهبندی شدند. یک آسیبپذیری افزایش اختیار محلی (CVE-۲۰۲۲-۳۱۶۶۴) بهعنوان مهم رتبهبندی شده است. یک آسیبپذیری تزریق URL (CVE-۲۰۲۲-۳۱۶۵۷) که به عنوان متوسط رتبهبندی شده است. و یک آسیبپذیری پیمایش مسیر (CVE-۲۰۲۲-۳۱۶۶۲) بهعنوان متوسط رتبهبندی شده است.
پچ فوری، پچ همه چیز
مجموعه VMware با عجولانه عمل کردن در ارائه پچها برای اشکالات حیاتی موجود در محصولاتش غریبه نیست و به دلیل فراگیر بودن پلتفرم خود در شبکههای سازمانی، از مشکلات امنیتی خود رنج میبرد.
به عنوان مثال، در اواخر ژوئن، سازمانهای فدرال درباره حمله مهاجمان به سرورهای VMware Horizon و Unified Access Gateway (UAG) برای سواستفاده از آسیبپذیری بدنام Log4Shell RCE (یک نقص با قابلیت بهرهبرداری آسان که در لایبرری Log4Jlate Apache در سال گذشته کشف شد)، هشدار دادند که از آن زمان بهطور مستمر روی VMware و دیگر پلتفرمها هدف قرار گرفته است.
در واقع، گاهی اوقات حتی پچ کردن هنوز برای VMware کافی نبوده است، زیرا مهاجمان پس از انجام اقدامات لازم برای رفع مشکل، نقصهای موجود را هدف قرار میدهند.
این سناریو در دسامبر ۲۰۲۰ رخ داد، زمانی که فدرالرزروها هشدار دادند که دشمنان به طور فعال از یک باگ چند هفتهای در محصولات Workspace One Access و Identity Manager سه روز پس از اصلاح آسیبپذیری توسط فروشنده استفاده میکنند.
به گفته یک متخصص امنیتی، اگرچه همه نشانهها به فوریت اصلاح آخرین تهدید برای پلتفرم VMware اشاره میکنند، به گفته یک متخصص امنیتی، به احتمال زیاد حتی اگر به توصیهها توجه شود، این خطر در آینده به شکل قابل پیشبینی ادامه خواهد داشت.
گرگ فیتزجرالد، یکی از بنیانگذاران Sevco Security اشاره کرد که اگرچه شرکتها در ابتدا تمایل دارند سریعترین تهدیدات را برای شبکه خود برطرف کنند، اما اغلب جاهایی را که مهاجمان میتوانند از یک نقص سواستفاده کنند را فراموش میکنند. او گفت که این همان چیزی است که منجر به حملات مداوم و پیوسته میشود.
«مهمترین خطر برای شرکتها سرعت اعمال پچهای حیاتی آنها نیست. فیتزجرالد میگوید، این از اعمال نکردن پچها در هر زمینه ناشی میشود. واقعیت ساده این است که بیشتر سازمانها در نگهداری موجودی داراییهای فناوری اطلاعات بهروز و دقیق شکست میخورند، و دقیقترین رویکرد برای مدیریت پچ نمیتواند تضمین کند که همه داراییهای سازمانی در نظر گرفته و حفظ میشوند.»