Backdoor

VMware corregge due vulnerabilità a rischio exploit: installiamo subito la patch

Workspace ONE Access, Identity Manager e vRealize Automation di VMware sono affetti da due gravi vulnerabilità a rischio exploit. Occorre scaricare e applicare le patch per evitare il rischio backdoor. Ecco come proteggersi

Pubblicato il 20 Mag 2022

Mirella Castigli

Giornalista

WMware vulnerabilità

VMware rilascia due patch per sanare le rispettive vulnerabilità in Workspace ONE Access, Identity Manager e vRealize Automation a rischio backdoor.

“Le due vulnerabilità risolte da VMware rappresentano una serie minaccia per le organizzazioni che utilizzano sistemi affetti e non aggiornati”, mette in allerta Pierluigi Paganini, analista di cyber security e CEO Cybhorus. Ecco come proteggersi e mitigare il rischio.

VMware rilascia due patch urgenti

Le due vulnerabilità in Workspace ONE Access, Identity Manager e vRealize Automation sono a rischio exploit: VMware teme che potrebbero aprire backdoor in network di fascia enterprise.

“Un attaccante potrebbe sfruttarle”, spiega Pierluigi Paganini, “per ottenere privilegi di amministrazione su sistemi vulnerabili. Potenzialmente potrebbero consentire di compromettere completamente l’infrastruttura obiettivo bypassando meccanismi di autenticazione in uso”.

In particolare, la prima vulnerabilità CVE-2022-22972 (punteggio CVSS di 9.8 su 10), si riferisce all’authentication bypass che potrebbe abilitare un attore con accesso di rete alla UI per ottenere accesso amministrativo senza doversi prima autenticare. L’altra vulnerabilità, CVE-2022-22973 (punteggio CVSS di 7.8 su 10), rappresenta invece un caso di escalation di privilegi locali tali da abilitare un attaccante a diventare un utente “root” su applicativi virtuali vulnerabili. VMware avvisa dunque gli utenti di applicare le patch con grande urgenza.

I dettagli

“Nel caso della CVE-2022-22954”, spiega Antonio Minnella, ricercatore Cybersecurity di Exprivia, “si è in grado di eseguire codice arbitrario sulla macchina target, come provato da null_byte che ha prontamente segnalato il problema al Department of Defense americano”. “Un utente non autenticato, con accesso alla rete, può sfruttare la vulnerabilità in oggetto inviando una richiesta appositamente predisposta allo scopo di ottenere l’esecuzione di codice in modalità remota sfruttando un difetto presente nel template engine lato server. La causa principale di questa vulnerabilità è che, il software in questione, utilizza il pacchetto java ‘freemarker.template’ di Apache, questo pacchetto permette all’applicativo di generare HTML dinamico e altre risorse Web tramite codice. Ma una delle funzionalità occulte di questo pacchetto è quella di permettere l’esecuzione comandi da remoto”. In questo sample, viene illustrato come costruire una richiesta che inganni il template engine permettendo di includere codice arbitrario”.

“Sfruttando invece la CVE-2022-22960”, continua Minnella, “l’utente malintenzionato potrebbe eseguire la privilege escalation ovvero riuscire ad accedere alla macchina target ed elevare i permessi utente allo scopo di prenderne il totale controllo. Dunque, è opportuno monitorare pertanto la data di creazione/modifica dei seguenti files, allo scopo di capire se siano in qualche modo stati alterati da un exploit simile a quello presentato”.

Dunque, “è stato accertato dal CISA (Cybersecurity and Infrastructure Security Agency) che i malintenzionati sono riusciti a decodificare gli aggiornamenti di sicurezza rilasciati dal produttore attraverso tecniche di reverse engineering e ad exploitare le vulnerabilità a partire dalle 48 ore successive alla data di rilascio del pacchetto di aggiornamento. In questo modo riescono a colpire i dispositivi sui quali non è ancora stata installata la patch. Numerosi altri PoC (Proof of Concept) diffusi sul web documentano come sfruttare CVE-2022-22954 e potrebbero essere utilizzati per replicare l’attacco contro un sistema ancora vulnerabile che non sia stato ancora patchato. Sono state diffuse dal CISA (Cybersecurity and Infrastructure Security Agency) delle Snort signature, per l’IPS più famoso del mondo, che permettano la detection del traffico di rete malevolo legato allo sfruttamento della CVE-2022-22954 per capire se ne si è vittima”.

“Rispetto alle vulnerabilità più recenti, rese note lo scorso 18 maggio, il loro fix ha permesso di correggere un bug che consentiva ad attori malevoli di eseguire il bypass dell’autenticazione (CVE-2022-22972) classificato con un livello di severità pari a 9.8/10. Mentre l’ultima (CVE-2022-22973) è un nuovo bug che permette di eseguire privilege escalation classificato con il punteggio di 7.8/10. Entrambe le vulnerabilità riguardano i prodotti dello stesso vendor già affetti dalle vulnerabilità scoperte in aprile. Lo sfruttamento della vulnerabilità CVE-2022-22954 e CVE-2022-22960 permette ad attori malevoli di sferrare attacchi che hanno come obiettivo la RCE (Remote Code Execution)”, conclude Minnella.

L’allarme delle agenzie cyber americane

A dare l’allerta sull’urgenza nell’applicare le patch sono anche le agenzie americane, seguita dalla nostra Agenzia per la Cybersicurezza Nazionale (ACN).

“Le agenzie americane sollecitano con urgenza la risoluzione delle vulnerabilità all’interno dei sistemi delle agenzie federali. Temono, infatti, a ragion veduta, un’imminente ondata di attacchi che utilizzano le falle in oggetto”, sottolinea Paganini.

Il motivo dell’urgenza di applicare le patch è che le cyber minacce non dormono mai. Infatti, “ad oggi non vi siano exploit pubblici per le falle, una volta rese pubbliche le patch di sicurezza”, mette in guardia Paganini. Tuttavia, “attori malevoli potrebbero effettuare un reverse-enginering del codice utilizzato. Ciò consentirebbe loro di risolvere le vulnerabilità e sviluppare codici malevoli in grado di sfruttarle“, avverte l’analista.

“In passato, attacchi a falle simili sono stati osservati a pochi giorni dal rilascio delle patch di sicurezza”, ricorda l’esperto di cyber security. “Inoltre, nel caso specifico, la direttiva emanata dall’agenzia americana CISA fa riferimento esplicito al rischio di sfruttamento dei bug in sistemi VMware”, conclude Paganini.

Infatti, i ricercatori di Barracuda Networks, in un report independente, hanno già osservato tentativi di sfruttare CVE-2022-22954 e CVE-2022-22960, appena sono state rese pubbliche.

Come proteggersi

Per mitigare il rischio, occorre scaricare e installare le patch il prima possibile, per evitare attacchi.

“Bisogna installare le patch consigliate qualora sia possibile”, avverte Gianluca Porcelli, , ricercatore Cybersecurity di Exprivia, “ma nel caso in cui ciò non fosse possibile sarebbe opportuno:

  • non permettere accesso ai sistemi da rete internet tramite configurazione dell’ambiente di virtualizzazione;
  • controllare tramite regole sui dispositivi di monitoraggio che non venga effettuato il login tramite gli utenti soggetti a tale vulnerabilità;
  • limitare le grant di amministrazione per i soli utenti necessari e non permettere ad altri utenti di poter modificare i propri privilegi localmente”.

Si teme che a sfruttare le falle siano operatori di botnet come le varianti in stile Mirai per sferrare attacchi Distributed Denial-of-Service (DDoS).

Cosa fare in caso di sospetto exploit

“I server vulnerabili a CVE-2022-22954”, continua Gianluca Porcelli, “possono utilizzare HTTPS (Hypertext Transfer Protocol Secure) per crittografare le comunicazioni client/server. La decrittografia Secure Sockets Layer (SSL)/Transport Layer Security (TLS) può essere utilizzata come soluzione alternativa per il rilevamento”. “La regola Snort creata da CISA rileva traffico legato alla vulnerabilità CVE-2022-22954”.

“La regola YARA mostrata di seguito identifica istanze non modificate della webshell Dingo J-spy su host infetti”.

“La webshell Dingo J-spy è un esempio di strumenti post-exploit che gli attaccanti utilizzano. Gli amministratori dovrebbero esaminare la propria rete per qualsiasi segno di attività post-exploit”, conclude Gianluca Porcelli.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati