VMware ha publicado parches de seguridad que subsanan múltiples vulnerabilidades en varios de sus productos, que permitirían a un atacante realizar ataques de ejecución remota de código (RCE), omisión de autenticación, cross-site request forgery (CRSF), entre otros.
Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Crítica”, 2 (dos) de severidad “Alta” y 1 (una) de severidad “Media. Las principales se detallan a continuación:
- CVE-2022-22954 de severidad crítica, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a fallas en la inyección de plantillas del lado del servidor de VMware Workspace ONE Access e Identity Manager. Un atacante con acceso a la red podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE) en el servidor afectado.
- CVE-2022-22955 y CVE-2022-22956 ambas de severidad crítica, con una puntuación asignada de 9.8. Las mismas en dos vulnerabilidades de omisión de autenticación en el marco de ACS de OAuth2, que permitirían a un atacante omitir el mecanismo de autenticación y ejecutar cualquier operación en el marco de autenticación de VMware Workspace ONE Access.
- CVE-2022-22957 y CVE-2022-22958 ambas de severidad crítica, con una puntuación asignada de 9.1. Consiste en dos vulnerabilidades de ejecución remota de código (RCE) en JDBC (Java Database Connectivity), que permitirían a un atacante con acceso administrativo obtener datos que no son de confianza a través de una URL JDBC maliciosa, logrando la ejecución remota de código (RCE).
Para visualizar una lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.
Los productos afectados de VMware son:
- VMware Workspace ONE Access (Acceso)
- VMware Identity Manager (vIDM)
- VMware vRealize Automation (vRA)
- Base de VMware Cloud
- vRealize Suite Lifecycle Manager
Recomendamos instalar las actualizaciones correspondientes provistas por VMware, mediante el siguiente enlace:
Referencias:
- https://www.vmware.com/security/advisories/VMSA-2022-0011.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22954
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22955
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22957
- https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-vulnerabilities-in-multiple-products/