As 12 vulnerabilidades mais frequentemente exploradas em 2022 (4)

vulnerabilities

10-11.VMware Workspace One Access & Identity Manager (CVE-2022-22954, CVE-2022-22960)

O VMware é um software de virtualização popular que geralmente é vítima de atacantes cibernéticos em todos os níveis, incluindo grupos APT.A exploração de vulnerabilidades no VMware pode autorizar o acesso não autorizado a máquinas virtuais e dados críticos hospedados na plataforma.Como o VMware virtualiza vários sistemas em um único servidor físico, um ataque bem -sucedido pode comprometer várias máquinas virtuais de uma só vez.Normalmente, os invasores optam por segmentar ambientes de VMware para obter uma base em uma rede maior, alavancando a confiança e a acessibilidade da infraestrutura virtualizada.A vulnerabilidade da VMware conquistou dois pontos na lista de vulnerabilidades da CISA este ano.

Primeiro, o CVE-2022-22954 (pontuação do CVSS 9,8) é uma vulnerabilidade de injeção de modelo do lado do servidor que pode ser acionada por um ator malicioso com acesso à rede para implementar o RCE no espaço de trabalho One Access & Identity Manager da VMware.Depois que o POC para a vulnerabilidade foi lançado na primavera passada, os pesquisadores de segurança descobriram que estava sendo usado em um ataque ativo para infectar servidores com máquinas de mineração.

Segundo, o CVE-2022-22960 é uma vulnerabilidade de escalada de privilégio.De acordo com o CISA Advisory sobre essa vulnerabilidade, ele permite um ator malicioso com acesso local a escalar privilégios para root devido a permissões incorretas no script de suporte.Se vinculado ao CVE-2022-22954, um invasor poderá executar comandos de shell arbitrários como um usuário do VMware, limpar os logs, escalar privilégios e se mover lateralmente para outro sistema com acesso raiz.

12. F5 Redes Big-IP (CVE-2022-1388)

Em setembro passado, a F5 divulgou um patch para uma vulnerabilidade crítica do RCE relacionada ao pacote de produtos Big-IP e, alguns dias depois, os pesquisadores de segurança conseguiram criar uma exploração para a vulnerabilidade.

O CVE-2022-1388 (pontuação do CVSS 9,8) é categorizado como uma vulnerabilidade de autenticação ausente envolvendo um desvio de autenticação de repouso de icontrol, o que pode levar a um invasor a obter acesso e a assumir o controle de um sistema Big-IP comprometido.Um invasor pode executar muitas ações maliciosas, como carregar um shell da Web para futuros ataques, implantar mineradores de criptomoeda e vazar dados sensíveis.

As falhas de execução remota de código são fáceis de explorar, o que as torna um alvo para atores de ameaças oportunistas.Sempre que as vulnerabilidades são descobertas em serviços voltados para a Internet, os atores de ameaças certamente serão rápidos em explorá-los.As vulnerabilidades como CVE-2022-1388 fornecem acesso inicial imediato à rede de destino e geralmente permitem que os invasores conduzam ataques por meio de movimentos laterais e escalada de privilégios.

Conclusão

As equipes de segurança corporativa devem reconhecer que ainda existem vulnerabilidades mais antigas e continuam a representar uma ameaça significativa.Embora os CVEs mais recentes sejam frequentemente mais visíveis, a lista anual de vulnerabilidades comumente usada da CISA é um lembrete claro de que as vulnerabilidades conhecidas ainda podem causar estragos em sistemas vulneráveis.

Além da lista abrangente, a CISA fornece orientação para fornecedores e organizações de tecnologia identificar e mitigar riscos potenciais.As recomendações incluem a adoção de práticas seguras por design e a priorização do patch de vulnerabilidades exploradas conhecidas para minimizar o risco de compromisso.Os fornecedores também são incentivados a estabelecer um processo coordenado de divulgação de vulnerabilidades para permitir a análise de causa raiz das vulnerabilidades descobertas.