روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ در تاریخ 18 می شرکت VMware دو آسیبپذیریCVE-2022-22972 و CVE-2022-22973 را در محصولات خود پچ کرد. برای تأکید بر وخامت مشکل، همان روز وزارت امنیت میهن ایالات متحده آمریکا (DHS[1]) نیز دستورالعملی را صادر کرد که طی آن همه آژانسهای فدرال شعبه غیرنظامی اجرایی یا FCEB[2] ملزم شدند طی بازه زمانی 5 روزه این آسیبپذیریها را در زیرساخت خود ببندند- با نصب پچها و اگر این امکان وجود نداشت با برداشتن محصولات VMware از شبکه آژانس. پس اینطور به نظر میرسد که عقلانیاش این باشد که پچها سریعاً نصب شوند. در ادامه با ما همراه شوید تا توضیح دهیم این آسیبپذیریها چه هستند و چطور میشود جلوی اکسپلویت شدن آنها را در محصولات VMWare گرفت.
این آسیبپذیریها چه هستند؟
آسیبپذیریها روی این 5 محصول شرکت VMWare تأثیر گذاشتهاند:
VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation و vRealize Suite Lifecycle Manager.
اولین آسیبپذیری -CVE-2022-22972 – با درجه وخامت 9.8 در مقیاس CVSS به شدت خطرناک است. اکسپلویت آن به مهاجم اجازه میدهد تا بدون هیچ سندیتی به حقوق ادمین در سیستم دست پیدا کنند. آسیبپذیری دوم CVE-2022-22973 به افزایش دسترسی مربوط میشود. مهاجمین برای اکسپلویت آن باید از قبل در سیستم حملهشده چندتایی حقوق دسترسی داشته باشند؛ برای همین است که درجه وخامت آن کمتر است (7.8 در مقیاس CVSS). با این حال این باگ همچنین باید جدی گرفته شود زیرا اجازه میدهد مهاجمین در سطح روت، افزایش دسترسی را در سیستم داشته باشند.
وخامت واقعی آسیبپذیریهای CVE-2022-22973 و CVE-2022-22972
نه VMware و نه متخصصین CISA هنوز اکسپلویت این آسیبپذیریها را در محیط بیرون مشاهده نکردهاند. با این حال صدور دستور اضطراری از سوی CISA میتواند دلیل خوبی داشته باشد: اوایل ماه آوریل VMware چندین آسیبپذیری را در همان محصولات بست؛ با این وجود تنها 48 ساعت بعد مهاجمین شروع به اکسپلویت آنها کردند (روی سرورها، جایی که نرمافزار Vmware هنوز پچ نشده بود). به بیانی دیگر، در آن موقیت کمتر از دو هفته برای مهاجمین زمان برده بود تا بخواهند اکسپلویتها را بسازند و این نگرانی هم البته وجود دارد که شاید این اتفاق برای بارهای بعد نیز بیافتد. افزون بر این، متخصصین CISA معتقدند فرد میتواند از این دو آسیبپذیری جدید (مربوط به بچ یا دسته ماه آوریل) خصوصاً CVE 2022-22954 و CVE 2022-22960 برای اجرای حملات هدفدار پیچیده استفاده کند. برای همین است که همه آژانسهای فدرال ملزم به بستن این آسیبپذیریها تا ساعت 5 بعد از ظهر EDT در تاریخ 23 می 2022 شدهاند.
راهکارهای امنیتی
VMware توصیه میکند ابتدا همه نرمافزارهای آسیبپذیر به نسخههای پشتیبانیشده آپدیت شوند و فقط آن زمان است که میشود برای نصب پچها اقدام کرد. پیش از نصب توصیه میشود از برنامههایی که به آپدیت نیاز دارند بکآپ گرفته تا اسنپشات داشته باشید. پچها و توصیههای نصب را میتوانید در پایگاه دانش VMware نیز پیدا کنید. این را هم نباید فراموش کنید که همه سیستمهای اطلاعاتی که به اینترنت دسترسی دارند باید رویشان راهکارهای امنیتی مطمئنی نصب شده باشد. در مورد محیطهای مجازی (Hybrid Enterprise Placeholder) باید از محافظت تخصصی استفاده کرد. همچنین برای افزودن لایه اضافی محافظتی توصیه میشود از راهکارهای EDR استفاده شود. این راهکارها به شما اجازه میدهند تا فعالیت را در کل زیرساخت نظارت کنید و علایم نشاندهنده حضوری مخرب را پیش از اینکه مهاجمین وقت آن را داشته باشند که آسیب واقعی برسانند شناسایی نمایید.
[1] United States Department of Homeland Security
[2] Federal Civilian Executive Branch
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
