La Cybersecurity and Infrastructure Agency (CISA) des États-Unis a publié une directive d'urgence concernant deux dernières vulnérabilités dans les produits VMware. Selon l'avis, les pirates sont susceptibles d'exploiter les dernières CVE-2022-22972 et CVE-2022-22973 dans plusieurs produits, notamment VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation et vRealize Suite Lifecycle Manager, tout comme ils l'ont fait pour les CVE 2022-22954 et CVE 2022-22960 en avril dernier. La CISA a exhorté les organisations à prendre des mesures rapides pour atténuer les risques associés aux vulnérabilités.

Le 18 mai 2022, VMware a réagi et publié des mises à jour correctives concernant donc les CVE-2022-22972 et CVE-2022-22973, ce qui n'a pas empêché l'agence américaine de s'attendre à ce que les cybercriminels en tirent parti rapidement. « L'exploitation des vulnérabilités permet aux attaquants de déclencher une injection de modèle côté serveur pouvant entraîner de l'exécution de code à distance (CVE-2022-22954), de l'élévation de privilèges pour obtenir un accès root (CVE-2022-22960 et CVE-2022-22973), et détenir un accès administratif sans avoir besoin de s'authentifier (CVE-2022-22972) », lit-on dans l'avertissement de sécurité. L'organisme a déterminé que ces failles présentent un risque inacceptable pour les agences fédérales et nécessitent une action d'urgence. Ceci est basé sur l'exploitation confirmée des CVE-2022-22954 et CVE-2022-22960 dans la nature et la probabilité d'une exploitation future des CVE-2022-22972 et CVE-2022-22973.

Des actions à suivre pour limiter les risques

Pour réduire les risques et les vulnérabilités, le CISA a déclaré que toutes les agences publiques et administratives doivent effectuer les actions suivantes :

- Énumérez toutes les instances des produits VMware concernés sur les réseaux d'agence ;

- Pour toutes les instances des produits VMware concernés, déployez les mises à jour conformément à l'avis de sécurité VMSA-2022-0014 ou supprimez-les du réseau de l'agence jusqu'à ce que la mise à jour puisse être appliquée. « Lorsque les mises à jour ne sont pas disponibles en raison de produits non pris en charge par le fournisseur (par exemple, fin de service, fin de vie), les produits non pris en charge doivent être immédiatement supprimés des réseaux d'agences », a déclaré le CISA ;

- Pour toutes les instances de produits VMware concernées qui sont accessibles depuis Internet, assumez la compromission, déconnectez-vous immédiatement du réseau de production et menez des activités de chasse aux menaces comme indiqué dans l'avis de cybersécurité CISA et signalez immédiatement toute anomalie identifiée. « Les agences ne peuvent se reconnecter à leurs réseaux qu'une fois les activités de chasse aux menaces terminées, sans détection d'anomalies et l'application des mises à jour », indique l'avertissement.

L'agence gouvernementale américaine a par ailleurs déclaré qu'elle continuerait à travailler avec des partenaires pour surveiller l'exploitation active associée aux vulnérabilités et informera les agences et fournira des conseils supplémentaires, le cas échéant. « La CISA fournit une assistance technique aux agences qui ne dispose pas de capacités internes suffisantes pour se conformer à cette directive », a-t-il ajouté. D'ici le 30 juin 2022, la CISA a déclaré qu'elle fournissait un rapport au secrétaire de la Sécurité intérieure, au directeur national de la cybersécurité, au directeur du Bureau de la gestion et du budget et au RSSI fédéral identifiant l'état des inter-agences et les problèmes en suspens.