De Amerikaanse overheid heeft alarm geslagen over misbruik van verschillende kwetsbaarheden in software van VMware en tegelijkertijd een noodbevel afgegeven dat federale overheidsinstanties verplicht om gisteren verschenen beveiligingsupdates voor maandag 23 mei te installeren.

Gisteren kwam VMware met patches voor twee kritieke kwetsbaarheden in VMware Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation en vRealize Suite Lifecycle Manager aangeduid als CVE-2022-22972 en CVE-2022-22973. Beveiligingslek CVE-2022-22972 maakt het mogelijk voor een aanvaller met toegang tot de gebruikersinterface om zonder inloggegevens beheerderstoegang te krijgen. De impact van deze kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Door middel van CVE-2022-22973 kan een aanvaller die al toegang tot het systeem heeft root worden. De impactscore van dit beveiligingslek bedraagt 7.8. Vorige maand kwam VMware met beveiligingsupdates voor twee andere kwetsbaarheden in de bovengenoemde producten, aangeduid als CVE-2022-22954 en CVE-2022-22960. Via deze beveiligingslekken kan een aanvaller willekeurige code uitvoeren en rootrechten verkrijgen.

Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben aanvallers de patches voor CVE-2022-22954 en CVE-2022-22960 binnen 48 gereverse engineerd om zo de onderliggende kwetsbaarheden te vinden en exploits te ontwikkelen waarmee vervolgens systemen zijn aangevallen. Het CISA verwacht dat aanvallers ook op zeer korte termijn misbruik zullen maken van de gisteren gepatchte beveiligingslekken in de VMware-producten.

Noodbevel

De overheidsinstantie heeft nu een "Emergency Directive" afgegeven dat alle federale overheidsinstanties verplicht om voor maandag 23 mei alle kwetsbare VMware-systemen in kaart te brengen en de betreffende beveiligingsupdates te installeren. Wanneer het installeren van de patches niet mogelijk is moeten de VMware-systemen uit de federale overheidsnetwerken worden verwijderd totdat updates wel zijn door te voeren. In het geval systemen niet meer worden ondersteund, bijvoorbeeld omdat ze end-of-life zijn, moeten ze direct worden verwijderd.

Verder moeten alle overheidsinstanties ervan uitgaan dat vanaf het internet toegankelijke kwetsbare VMware-systemen zijn gecompromitteerd. Deze systemen moeten dan ook van de productienetwerken worden losgekoppeld en onderzocht. In het geval van gevonden sporen moeten overheidsinstanties dit bij het CISA melden. Eerder gaf het CISA ook een noodbevel af wegens het Log4j-lek.