CISA попереджає про вразливості в продуктах VMware та F5
Агентство кібербезпеки та безпеки інфраструктури США (The U.S. Cybersecurity and Infrastructure Security Agency, CISА) оприлюднило попередження про п’ять вразливостей програмного забезпечення, які, ймовірно, впливають на велику кількість організацій.
Чотири вразливості були виявлені в продуктах VMware. П’ята - стосується балансувальника навантаження від F5, постачальника програмного забезпечення для центрів обробки даних.
6 квітня VMware випустила патч для двох вразливостей, які мають назву CVE 2022-22954 і CVE 2022-22960. Помилки безпеки впливають на продукти Workspace ONE Access, Identity Manager, vRealize Automation, VMware Cloud Foundation і vRealize Suite Lifecycle Manager.
У повідомленні, опублікованому в середу, CISA детально розповіла, що хакери переробили патч VMware від 6 квітня протягом 48 годин і почали запускати кібератаки проти уражених мереж, причому декількох типів. Хакери можуть використовувати недоліки безпеки, щоб віддалено запускати шкідливий код на уражених системах, отримати root-доступ і отримати адміністративний доступ.
"CISA розгорнула групу реагування на інциденти у великій організації, де учасники загроз використовували CVE-2022-22954", - йдеться в повідомленні. «Крім того, CISA отримала інформацію - включно з індикаторами компромісу (IOC) - про спостережувану експлуатацію в багатьох інших великих організаціях від довірених третіх сторін».
Окремо CISA випустила екстрену директиву щодо двох нових недоліків безпеки, які були виявлені в тих самих продуктах VMware, які постраждали від перших двох уразливостей. VMware випустила оновлення для двох нових недоліків безпеки в середу. Вони відстежуються як CVE-2022-22972 і CVE-2022-22973.
Виходячи з систем, націлених на кібератаки, на які вплинули дві попередні вразливості, «CISA очікує, що зловмисники швидко розвинуть здатність використовувати нещодавно випущені вразливості CVE-2022-22972 та CVE-2022-22973», – йдеться у повідомленні.
CISA доручила всім федеральним цивільним установам встановити патч VMware для двох нових вразливостей або видалити уражені системи до 17:00. EDT в понеділок, 23 травня. Агенції повинні вжити додаткових заходів для захисту вразливих розгортань VMware, які доступні з Інтернету. Забезпечуючи таке розгортання, командам з інформаційних технологій доручається «прийти до компромісу, негайно відключитися від виробничої мережі та проводити заходи з пошуку загроз», – заявили в CISA.
Агентство заохочує інші організації вжити подібних кроків. «CISA також заохочує організації, які мають уражені продукти VMware, які доступні з Інтернету, йти на компроміс та ініціювати діяльність з пошуку загроз», – наголошують фахівці агентства.
П’ята вада безпеки, про яку CISA випустила сповіщення, стосується BIG-IP, популярного балансувальника навантаження від F5, який організації використовують для керування мережевим трафіком. Було виявлено, що деякі версії балансувальника навантаження містять уразливість, відому як CVE-2022-1388. Це «дає змогу неавтентифікованому суб’єкту отримати контроль над системами, що постраждали, через порт керування або власні IP-адреси», підкреслює CISA.
F5 випустила патч для вразливості 4 травня. Відтоді CISA заявила в попередженні - код підтвердження концепції, що демонструє, як використовувати вразливість для запуску кібератак, було опубліковано. Агентство попередило, що хакери вже почали атакувати уражені системи.
CISA та Міжнародний центр обміну та аналізу інформації вважають, що в майбутньому будуть масові кібератаки, спрямовані на уражені системи. Чиновники «настійно закликають» адміністраторів захищати вразливі системи. Крім того, ІТ-командам рекомендується перевірити, чи не зламано їх системи BIG-IP.
CISA випустила технічні ресурси, щоб допомогти ІТ-командам виявити потенційні ознаки злому. Крім того, агентство заохочує організації вжити низку додаткових кроків для захисту своїх розгортань BIG-IP. CISA заявила, що організації повинні, серед іншого, переконатися, що інтерфейс керування балансувальником навантаження недоступний з Інтернету.