VMware, Workspace ONE Access, Identity Manager ve vRealize Automation’ı etkileyen ve arka kapı kurumsal ağlarında istismar edilebilecek iki güvenlik açığını içerecek şekilde yamalar yayınladı.
CVE-2022-22972 (CVSS puanı: 9.8) olarak izlenen iki kusurdan ilki, kullanıcı ara yüzüne ağ erişimi olan bir aktörün önceden kimlik doğrulaması olmadan yönetici erişimi elde etmesine olanak tanıyan bir kimlik doğrulama atlamasıyla ilgili, diğer hata olan CVE-2022-22973 (CVSS puanı: 7.8), yerel erişime sahip bir saldırganın savunmasız sanal cihazlarda “kök” kullanıcıya ayrıcalıklar yükseltmesine olanak verebilecek bir yerel ayrıcalık yükseltme durumudur.
Açıklama , ABD Siber Güvenlik ve Altyapı Ajansı’nın (CISA) gelişmiş kalıcı tehdit (APT) gruplarının CVE-2022-22954 ve CVE-2022-22960 – geçen ayın başlarında düzeltilen diğer iki VMware kusurunu ayrı ayrı ve ayrı ayrı kullandığına dair bir uyarının ardından geldi.
“Web arayüzüne ağ erişimi olan kimliği doğrulanmamış bir aktör, bir VMware kullanıcısı olarak rastgele bir kabuk komutu yürütmek için CVE-2022-22954’ten yararlandı” şeklinde belirtildi.
“Kullanıcının ayrıcalıklarını root yetkisine yükseltmek için CVE-2022-22960’tan yararlandı. Kök erişimiyle, günlükler silinebilir, izinleri yükseltebilir ve yanal olarak diğer sistemlere geçebilir.”
Bunun da ötesinde, siber güvenlik yetkilisi, tehdit aktörlerinin en az üç farklı kuruluşta Dingo J-casus web kabuğu gibi istismar sonrası araçları kullandığını kaydedildi.