روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ در تاریخ 18 می شرکت VMware دو آسیب‌پذیریCVE-2022-22972  و CVE-2022-22973 را در محصولات خود پچ کرد. برای تأکید بر وخامت مشکل، همان روز وزارت امنیت میهن ایالات متحده آمریکا (DHS[1]) نیز دستورالعملی را صادر کرد که طی آن همه آژانس‌های فدرال شعبه غیرنظامی اجرایی یا FCEB[2] ملزم شدند طی بازه زمانی 5 روزه این آسیب‌پذیری‌ها را در زیرساخت خود ببندند- با نصب پچ‌ها و اگر این امکان وجود نداشت با برداشتن محصولات VMware از شبکه آژانس. پس اینطور به نظر می‌رسد که عقلانی‌اش این باشد که پچ‌ها سریعاً نصب شوند. در ادامه با ما همراه شوید تا توضیح دهیم این‌ آسیب‌پذیری‌ها چه هستند و چطور می‌شود جلوی اکسپلویت شدن آن‌ها را در محصولات VMWare گرفت.

این آسیب‌پذیری‌ها چه هستند؟

آسیب‌پذیری‌ها روی این 5 محصول شرکت VMWare تأثیر گذاشته‌اند:

VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation و vRealize Suite Lifecycle Manager.

اولین آسیب‌پذیری -CVE-2022-22972 – با درجه وخامت 9.8 در مقیاس CVSS به شدت خطرناک است. اکسپلویت آن به مهاجم اجازه می‌دهد تا بدون هیچ سندیتی به حقوق ادمین در سیستم دست پیدا کنند. آسیب‌پذیری دوم CVE-2022-22973 به افزایش دسترسی مربوط می‌شود. مهاجمین برای اکسپلویت آن باید از قبل در سیستم حمله‌شده چندتایی حقوق دسترسی داشته باشند؛ برای همین است که درجه وخامت آن کمتر است (7.8 در مقیاس CVSS). با این حال این باگ همچنین باید جدی گرفته شود زیرا اجازه می‌دهد مهاجمین در سطح روت، افزایش دسترسی را در سیستم داشته باشند.

وخامت واقعی آسیب‌پذیری‌های CVE-2022-22973 و CVE-2022-22972

نه VMware و نه متخصصین CISA هنوز اکسپلویت این آسیب‌پذیری‌ها را در محیط بیرون مشاهده نکرده‌اند. با این حال صدور دستور اضطراری از سوی CISA می‌تواند دلیل خوبی داشته باشد: اوایل ماه آوریل VMware چندین آسیب‌پذیری‌ را در همان محصولات بست؛ با این وجود تنها 48 ساعت بعد مهاجمین شروع به اکسپلویت آن‌ها کردند (روی سرورها، جایی که نرم‌افزار Vmware هنوز پچ نشده بود). به بیانی دیگر، در آن موقیت کمتر از دو هفته برای مهاجمین زمان برده بود تا بخواهند اکسپلویت‌ها را بسازند و این نگرانی هم البته وجود دارد که شاید این اتفاق برای بارهای بعد نیز بیافتد. افزون بر این، متخصصین CISA معتقدند فرد می‌تواند از این دو آسیب‌پذیری جدید (مربوط به بچ یا دسته ماه آوریل) خصوصاً CVE 2022-22954 و CVE 2022-22960 برای اجرای حملات هدف‌دار پیچیده استفاده کند. برای همین است که همه آژانس‌های فدرال ملزم به بستن این آسیب‌پذیری‌ها تا ساعت 5 بعد از ظهر EDT در تاریخ 23 می 2022 شده‌اند.

راهکارهای امنیتی

VMware توصیه می‌کند ابتدا همه نرم‌افزارهای آسیب‌پذیر به نسخه‌های پشتیبانی‌شده آپدیت شوند و فقط آن زمان است که می‌شود برای نصب پچ‌ها اقدام کرد. پیش از نصب توصیه می‌شود از برنامه‌هایی که به آپدیت نیاز دارند بک‌آپ گرفته تا اسنپ‌شات داشته باشید. پچ‌ها و توصیه‌های نصب را می‌توانید در پایگاه دانش  VMware نیز پیدا کنید. این را هم نباید فراموش کنید که همه سیستم‌های اطلاعاتی که به اینترنت دسترسی دارند باید رویشان راهکارهای امنیتی مطمئنی نصب شده باشد. در مورد محیط‌های مجازی (Hybrid Enterprise Placeholder) باید از محافظت تخصصی استفاده کرد. همچنین برای افزودن لایه اضافی محافظتی توصیه می‌شود از راهکارهای EDR استفاده شود. این راهکارها به شما اجازه می‌دهند تا فعالیت را در کل زیرساخت نظارت کنید و علایم نشان‌دهنده حضوری مخرب را پیش از اینکه مهاجمین وقت آن را داشته باشند که آسیب واقعی برسانند شناسایی نمایید.

[1] United States Department of Homeland Security

[2] Federal Civilian Executive Branch

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.