DHS recomenda instalar as patchs do de VMware

O Departamento de Segurança Interna está alertando as agências federais dos EUA para “corrigir ou remover” uma lista de produtos VMware dentro de cinco dias. Provavelmente você deveria fazer isso também.

Em 18 de maio, a VMware corrigiu duas vulnerabilidades em seus produtos: CVE-2022-22972 e CVE-2022-22973. Para enfatizar a gravidade do problema, no mesmo dia em que o Departamento de Segurança Interna dos EUA emitiu uma diretiva obrigando todas as agências do Federal Civil Executive Executive Branch (FCEB) a corrigir essas vulnerabilidades em sua infraestrutura em até cinco dias — instalando patches, e se isso não for possível, removendo produtos VMware da rede da agência.  Então parece que faz sentido seguir o exemplo das agências governamentais americanas e instalar imediatamente as patches.

Quais são as vulnerabilidades?

As vulnerabilidades afetam cinco produtos da empresa — VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation e vRealize Suite Lifecycle Manager.

A primeira vulnerabilidade, CVE-2022-22972, com uma classificação de gravidade de 9,8 na escala CVSS, é especialmente perigosa. Sua exploração pode permitir que um invasor obtenha direitos de administrador no sistema sem qualquer autenticação.

A segunda vulnerabilidade, CVE-2022-22973, está relacionada à escalada de privilégios. Para explorá-lo, os atacantes já devem ter alguns direitos no sistema invadido; por essa razão, seu nível de gravidade é um pouco menor — 7,8 na escala CVSS. No entanto, este bug também deve ser levado a sério, pois permite que os cibercriminosos elevem privilégios no sistema ao nível raiz.

Mais informações podem ser encontradas na FAQ oficial sobre as vulnerabilidades.

Real severidade das vulnerabilidades CVE-2022-22973 e CVE-2022-22972

Nem os especialistas da VMware nem da CISA ainda estão cientes de qualquer exploração dessas vulnerabilidades. No entanto, há uma boa razão para a diretiva de emergência da CISA: no início de abril, a VMware corrigiu várias vulnerabilidades nos mesmos produtos, mas apenas 48 horas depois os atacantes começaram a explorá-las (em servidores nos quais o software Vmware ainda não havia sido corrigido). Em outras palavras, naquela ocasião os cibercriminosos levaram menos de dois dias para aproveitar as brechas de segurança, e obviamente há uma preocupação de que possa acontecer novamente neste caso após tempo transcorrido.

Além disso, os especialistas da CISA acreditam que alguém pode tentar usar as duas novas vulnerabilidades em conjunto com as outras duas de abril (especificamente, CVE 2022-22954 e CVE 2022-22960) para realizar ataques específicos. Por essa razão, eles exigiram que todas as agências federais corrigissem as vulnerabilidades até às 17 horas EDT em 23 de maio de 2022.

Como evitar que as vulnerabilidades sejam exploradas em produtos VMWare

A VMware recomenda primeiro atualizar todos os softwares vulneráveis para versões suportadas e só então instalar patches. Você pode verificar as versões atuais na página VMware LogoProduct Lifecycle Matrix. Antes da instalação, é aconselhável criar backups ou tirar prints de programas que precisam de atualização. Patches e dicas de instalação podem ser encontradas na Base de Conhecimento VMware.

Além disso, você não deve se esquecer que todos os sistemas de informação que têm acesso à internet devem ter soluções de segurança confiáveis instaladas. No caso de ambientes virtuais, uma proteção especializada pode ser usada.

Também faz sentido usar, como uma camada adicional de proteção, soluções que permitem monitorar a atividade em toda a infraestrutura e identificar sinais de presença maliciosa antes que os invasores tenham tempo de causar algum dano real.

Dicas