VMware corregge due vulnerabilità a rischio exploit: installiamo subito la patch

VMware rilascia due patch per sanare le rispettive vulnerabilità in Workspace ONE Access, Identity Manager e vRealize Automation a rischio backdoor.

“Le due vulnerabilità risolte da VMware rappresentano una serie minaccia per le organizzazioni che utilizzano sistemi affetti e non aggiornati”, mette in allerta Pierluigi Paganini, analista di cyber security e CEO Cybhorus. Ecco come proteggersi e mitigare il rischio.

VMware rilascia due patch urgenti

Le due vulnerabilità in Workspace ONE Access, Identity Manager e vRealize Automation sono a rischio exploit: VMware teme che potrebbero aprire backdoor in network di fascia enterprise.

“Un attaccante potrebbe sfruttarle”, spiega Pierluigi Paganini, “per ottenere privilegi di amministrazione su sistemi vulnerabili. Potenzialmente potrebbero consentire di compromettere completamente l’infrastruttura obiettivo bypassando meccanismi di autenticazione in uso”.

In particolare, la prima vulnerabilità CVE-2022-22972 (punteggio CVSS di 9.8 su 10), si riferisce all’authentication bypass che potrebbe abilitare un attore con accesso di rete alla UI per ottenere accesso amministrativo senza doversi prima autenticare. L’altra vulnerabilità, CVE-2022-22973 (punteggio CVSS di 7.8 su 10), rappresenta invece un caso di escalation di privilegi locali tali da abilitare un attaccante a diventare un utente “root” su applicativi virtuali vulnerabili. VMware avvisa dunque gli utenti di applicare le patch con grande urgenza.

I dettagli

“Nel caso della CVE-2022-22954”, spiega Antonio Minnella, ricercatore Cybersecurity di Exprivia, “si è in grado di eseguire codice arbitrario sulla macchina target, come provato da null_byte che ha prontamente segnalato il problema al Department of Defense americano”. “Un utente non autenticato, con accesso alla rete, può sfruttare la vulnerabilità in oggetto inviando una richiesta appositamente predisposta allo scopo di ottenere l’esecuzione di codice in modalità remota sfruttando un difetto presente nel template engine lato server. La causa principale di questa vulnerabilità è che, il software in questione, utilizza il pacchetto java ‘freemarker.template’ di Apache, questo pacchetto permette all’applicativo di generare HTML dinamico e altre risorse Web tramite codice. Ma una delle funzionalità occulte di questo pacchetto è quella di permettere l’esecuzione comandi da remoto”. In questo sample, viene illustrato come costruire una richiesta che inganni il template engine permettendo di includere codice arbitrario”.

“Sfruttando invece la CVE-2022-22960”, continua Minnella, “l’utente malintenzionato potrebbe eseguire la privilege escalation ovvero riuscire ad accedere alla macchina target ed elevare i permessi utente allo scopo di prenderne il totale controllo. Dunque, è opportuno monitorare pertanto la data di creazione/modifica dei seguenti files, allo scopo di capire se siano in qualche modo stati alterati da un exploit simile a quello presentato”.

Dunque, “è stato accertato dal CISA (Cybersecurity and Infrastructure Security Agency) che i malintenzionati sono riusciti a decodificare gli aggiornamenti di sicurezza rilasciati dal produttore attraverso tecniche di reverse engineering e ad exploitare le vulnerabilità a partire dalle 48 ore successive alla data di rilascio del pacchetto di aggiornamento. In questo modo riescono a colpire i dispositivi sui quali non è ancora stata installata la patch. Numerosi altri PoC (Proof of Concept) diffusi sul web documentano come sfruttare CVE-2022-22954 e potrebbero essere utilizzati per replicare l’attacco contro un sistema ancora vulnerabile che non sia stato ancora patchato. Sono state diffuse dal CISA (Cybersecurity and Infrastructure Security Agency) delle Snort signature, per l’IPS più famoso del mondo, che permettano la detection del traffico di rete malevolo legato allo sfruttamento della CVE-2022-22954 per capire se ne si è vittima”.

“Rispetto alle vulnerabilità più recenti, rese note lo scorso 18 maggio, il loro fix ha permesso di correggere un bug che consentiva ad attori malevoli di eseguire il bypass dell’autenticazione (CVE-2022-22972) classificato con un livello di severità pari a 9.8/10. Mentre l’ultima (CVE-2022-22973) è un nuovo bug che permette di eseguire privilege escalation classificato con il punteggio di 7.8/10. Entrambe le vulnerabilità riguardano i prodotti dello stesso vendor già affetti dalle vulnerabilità scoperte in aprile. Lo sfruttamento della vulnerabilità CVE-2022-22954 e CVE-2022-22960 permette ad attori malevoli di sferrare attacchi che hanno come obiettivo la RCE (Remote Code Execution)”, conclude Minnella.

L’allarme delle agenzie cyber americane

A dare l’allerta sull’urgenza nell’applicare le patch sono anche le agenzie americane, seguita dalla nostra Agenzia per la Cybersicurezza Nazionale (ACN).

“Le agenzie americane sollecitano con urgenza la risoluzione delle vulnerabilità all’interno dei sistemi delle agenzie federali. Temono, infatti, a ragion veduta, un’imminente ondata di attacchi che utilizzano le falle in oggetto”, sottolinea Paganini.

Il motivo dell’urgenza di applicare le patch è che le cyber minacce non dormono mai. Infatti, “ad oggi non vi siano exploit pubblici per le falle, una volta rese pubbliche le patch di sicurezza”, mette in guardia Paganini. Tuttavia, “attori malevoli potrebbero effettuare un reverse-enginering del codice utilizzato. Ciò consentirebbe loro di risolvere le vulnerabilità e sviluppare codici malevoli in grado di sfruttarle“, avverte l’analista.

“In passato, attacchi a falle simili sono stati osservati a pochi giorni dal rilascio delle patch di sicurezza”, ricorda l’esperto di cyber security. “Inoltre, nel caso specifico, la direttiva emanata dall’agenzia americana CISA fa riferimento esplicito al rischio di sfruttamento dei bug in sistemi VMware”, conclude Paganini.

Infatti, i ricercatori di Barracuda Networks, in un report independente, hanno già osservato tentativi di sfruttare CVE-2022-22954 e CVE-2022-22960, appena sono state rese pubbliche.

Come proteggersi

Per mitigare il rischio, occorre scaricare e installare le patch il prima possibile, per evitare attacchi.

“Bisogna installare le patch consigliate qualora sia possibile”, avverte Gianluca Porcelli, , ricercatore Cybersecurity di Exprivia, “ma nel caso in cui ciò non fosse possibile sarebbe opportuno:

• non permettere accesso ai sistemi da rete internet tramite configurazione dell’ambiente di virtualizzazione;
• controllare tramite regole sui dispositivi di monitoraggio che non venga effettuato il login tramite gli utenti soggetti a tale vulnerabilità;
• limitare le grant di amministrazione per i soli utenti necessari e non permettere ad altri utenti di poter modificare i propri privilegi localmente”.

Si teme che a sfruttare le falle siano operatori di botnet come le varianti in stile Mirai per sferrare attacchi Distributed Denial-of-Service (DDoS).

Cosa fare in caso di sospetto exploit

“I server vulnerabili a CVE-2022-22954”, continua Gianluca Porcelli, “possono utilizzare HTTPS (Hypertext Transfer Protocol Secure) per crittografare le comunicazioni client/server. La decrittografia Secure Sockets Layer (SSL)/Transport Layer Security (TLS) può essere utilizzata come soluzione alternativa per il rilevamento”. “La regola Snort creata da CISA rileva traffico legato alla vulnerabilità CVE-2022-22954”.

“La regola YARA mostrata di seguito identifica istanze non modificate della webshell Dingo J-spy su host infetti”.

“La webshell Dingo J-spy è un esempio di strumenti post-exploit che gli attaccanti utilizzano. Gli amministratori dovrebbero esaminare la propria rete per qualsiasi segno di attività post-exploit”, conclude Gianluca Porcelli.