16.08.2022 12:00
Los VMware, noch einmal!
In den Monaten April und Mai dieses Jahres veröffentlichte VMware zwei Security Advisories (VMSA-2022-0011 & VMSA-2022-0014) zu schwerwiegenden Sicherheitslücken in mehreren Produkten, zu denen teilweise bereits Patches zur Verfügung standen.
Besagte Sicherheitsaktualisierungen wurden daraufhin von verschiedenen Bedrohungsakteuren untersucht und dienten als Basis für erste Exploits, welche wiederum bereits binnen 48 Stunden nach dem Erscheinen der Advisories genutzt wurden um großflächig Systeme zu kompromitieren
Laut verschiedensten Berichten dauert die Ausnutzung dieser Schwachstellen auch Monate nach der Erstveröffentlichung noch weiter an - und nun konnten die Angreifer:innen ihr Arsenal um zwei weitere Sicherheitslücken erweitern.
Konkret handelt es sich hierbei um die Schwachstellen mit den CVE-Nummern 2022-31656 und 2022-31659. Die Ausnutzung Ersterer würde Angreifer:innen die entfernte Ausführung von Code erlauben, Letztere macht eine vollständige Umgehung der Authentifizierungs- und Autorisierungsmechanismen von mehreren VMware-Produkten möglich.
In beiden Fällen ist nichts weiter notwendig als die Möglichkeit ein verwundbares System über das Netzwerk zu erreichen. Diesmal waren für die Angreifer:innen anscheinend nicht einmal Patches zur Inspiration notwendig, laut VMWare selbst ist Code zur Ausnutzung der Schwachstelle bereits öffentlich verfügbar und wird auch eingesetzt.
Dementsprechend sei hier mit absolutem Nachdruck empfohlen, die verfügbaren Sicherheitsaktualisierungen schnellstmöglich einzuspielen. Auch sei an dieser Stelle nochmals auf die Empfehlungen aus unserem letzten Blogbeitrag zu der Thematik hingewiesen:
- Management-Interfaces jedweder Art sollten unter keinen Umständen ungeschützt direkt aus dem Internet erreichbar sein - oder auch nur ungehindert von jedem Endpoint innerhalb des eigenen Netzwerkes.
- Für den Fall, dass eine unbedingte betriebliche Notwendigkeit besteht, dass diese über das Internet erreichbar sind, sollte diese Notwendigkeit nochmals genauestens geprüft werden.
- Sollte danach die Notwendigkeit weiterhin bestehen sollte der Zugriff zumindest über eine gesonderte VPN-Verbindung und/oder einen besonders gesicherten Jumphost erfolgen und jegliche anderen Zugriffe auf Netzwerkebene blockiert werden - schon einfache Filterlisten sind ein erster Schritt.