Il DHS raccomanda di correggere i prodotti VMware e probabilmente dovreste farlo anche voi

Il Dipartimento della Sicurezza Interna degli Stati Uniti sta esortando le agenzie federali statunitensi a “correggere o rimuovere” una serie di prodotti VMware entro cinque giorni. Probabilmente dovreste farlo anche voi.

Il 18 maggio, VMware, società che si occupa di tecnologie per la virtualizzazione, ha rilasciato le patch per due vulnerabilità presenti nei suoi prodotti: la CVE-2022-22972 e la CVE-2022-22973. Per comprendere la gravità della situazione, lo stesso giorno il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) ha emesso una direttiva che obbligava tutte le agenzie appartenenti alla Federal Civilian Executive Branch (FCEB) a correggere, entro cinque giorni, le vulnerabilità presenti nelle loro infrastrutture; per farlo, sarà necessario installare le patch e, se ciò non fosse possibile, dovranno rimuovere i prodotti VMware dalla rete dell’agenzia. Sembra quindi opportuno seguire l’esempio delle agenzie governative statunitensi e installare immediatamente le patch.

Quali sono le vulnerabilità?

Le vulnerabilità riguardano cinque prodotti dell’azienda: VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation e vRealize Suite Lifecycle Manager.

La prima vulnerabilità, la CVE-2022-22972, con un indice di gravità pari a 9,8 sulla scala CVSS, è particolarmente pericolosa. Se fruttata, permette a un utente malintenzionato di ottenere i diritti di amministratore nel sistema senza alcuna autenticazione.

La seconda vulnerabilità, la CVE-2022-22973, è legata alla privilege escalation (in italiano, scalata o sorpasso delle autorizzazioni). Per sfruttarla, gli hacker devono già disporre di alcune autorizzazioni all’interno del sistema preso di mira. Per questo motivo, il livello di pericolosità è leggermente inferiore, ovvero un 7,8 sulla scala CVSS. Tuttavia, anche questo bug deve essere preso sul serio, poiché consente agli hacker di ottenere un controllo sempre maggiore, fino ad arrivare al livello root.

Per maggiori informazioni, potete consultare le FAQ ufficiali relative a questo problema.

Le vulnerabilità CVE-2022-22973 e CVE-2022-22972 e la loro gravità

Né VMware né gli esperti CISA sono ancora a conoscenza di uno sfruttamento di queste vulnerabilità in the wild. Tuttavia, se la CISA (Cybersecurity and Infrastructure Security Agency) ha emesso la direttiva d’emergenza un motivo c’è: all’inizio di aprile, VMware ha risolto diverse vulnerabilità presenti nei prodotti sopra menzionati; eppure, appena 48 ore dopo, gli hacker hanno iniziato a sfruttarle (sui server in cui il software Vmware non era ancora stato patchato). In altre parole, in quell’occasione, i criminali informatici sono stati in grado di creare gli exploit in meno di due giorni e ovviamente si teme che ciò possa accadere di nuovo.

Inoltre, gli esperti del CISA ritengono che qualcuno potrebbe utilizzare le due nuove vulnerabilità insieme al batch di aprile (nello specifico, CVE 2022-22954 e CVE 2022-22960) per eseguire sofisticati attacchi mirati. Per questo motivo, hanno obbligato tutte le agenzie federali a correggere le vulnerabilità entro le ore 17:00 EDT del 23 maggio 2022.

Come evitare che le vulnerabilità presenti nei prodotti VMWare vengano sfruttate

In primo luogo, VMware consiglia di aggiornare alle versioni supportate tutti i software vulnerabili e di installare le patch solo in un secondo momento. È possibile verificare le versioni attualmente in uso nella pagina VMware Product Lifecycle Matrix. Prima dell’installazione, si consiglia di eseguire un backup o un’istantanea dei programmi da aggiornare. Potete trovare le patch e i suggerimenti per l’installazione nella Knowledge Base di VMware.

Inoltre, non bisogna dimenticare che tutti i sistemi informatici che hanno accesso a Internet devono essere dotati di una soluzione di sicurezza affidabile. Nel caso degli ambienti virtuali, è necessario utilizzare una protezione specifica

Per ottenere un livello di protezione maggiore, è consigliabile utilizzare soluzioni  che consentano di monitorare l’attività dell’infrastruttura e di identificare la presenza dei criminali informatici prima che questi abbiano avuto il tempo di causare danni reali.

Consigli