VMware waarschuwt dat er inmiddels een “Proof of Concept” (PoC) publiek beschikbaar is. Deze PoC beschrijft hoe er misbruik gemaakt kan worden van de kwetsbaarheden met als kenmerk CVE-2022-31656 en CVE-2022-31659. Beide kwetsbaarheden zijn verholpen in de door VMware beschikbaar gestelde beveiligingsupdates.
Het advies blijft om beschikbare updates zo snel mogelijk te (laten) installeren.
Oorspronkelijk bericht 3 aug 2022
VMware heeft beveiligingsupdates beschikbaar gesteld voor kwetsbaarheden in meerdere VMware-producten. Eén van deze kwetsbaarheden wordt als ernstig aangewezen (CVE-2022-31656). Deze kwetsbaarheid maakt het mogelijk om zonder toegangscontrole beheerdersrechten te verkrijgen via de gebruikersinterface. De verwachting is dat er spoedig een zogenoemde 'Proof of concept' publiekelijk zal verschijnen. Het NCSC heeft deze kwetsbaarheid ingeschaald als High/High. Dit wil zeggen dat er een grote kans is dat deze kwetsbaarheden worden misbruikt en dat de schade groot kan zijn.
Het gaat hier om kwetsbaarheden die het mogelijk maken om beheerdersrechten te verkrijgen binnen de getroffen VMware-producten. In het geval van de kwetsbaarheid met het kenmerk CVE-2022-31656 is hier wel toegang tot de gebruikersinterface voor nodig.
Het hebben van beheerdersrechten binnen dit soort producten stelt kwaadwillenden in staat deze systemen volledig over te nemen waardoor gevoelige informatie kan worden gestolen en malware (zoals ransomware) kan worden geïnstalleerd.
VMware heeft aangegeven dat de volgende producten kwetsbaar zijn:
VMware Workspace ONE Access (Access)
VMware Workspace ONE Access Connector (Access Connector)
VMware Identity Manager (vIDM)
VMware Identity Manager Connector (vIDM Connector)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
VMware heeft beveiligingsupdates beschikbaar gesteld om de kwetsbaarheden te verhelpen. Het advies is deze zo snel mogelijk te installeren wanneer je gebruik maakt van de getroffen producten en niet af te wachten tot een eventueel gepland updatemoment.
Neem contact op met je IT-dienstverlener als je het beheer van je IT-omgeving hebt uitbesteed. Bespreek of je bedrijf gebruik maakt van de genoemde VMware-producten en of beschikbare beveiligingsupdates zijn geïnstalleerd.
Het is zeer aan te raden om netwerktoegang tot beheerinterfaces of gebruikersinterfaces zoveel mogelijk te beperken. Maak deze bijvoorbeeld niet toegankelijk vanaf het internet. Is toegang op afstand toch noodzakelijk, laat dit dan alleen toe via een VPN-verbinding.
Het advies blijft - ook wanneer de toegang tot dit soort interfaces wordt beperkt - om beschikbare beveiligingsupdates zo snel mogelijk te installeren. Misbruik kan namelijk alsnog plaatsvinden door eerder verkregen toegang.
