Вендор уже подтвердил уязвимость и выпустил патч для ее устранения.
Баг для получения привилегий
Компания VMware сообщила о нахождении критической уязвимости CVE-2022-31656. Ее эксплуатация позволяла злоумышленнику обойти авторизацию и получить права администрации.
Баг получил 9.8 баллов из 10 возможных баллов. Уязвимость затрагивает сразу несколько продуктов вендора — Workspace ONE Access, Identity Manager, vRealize Automation.
Проблемы безопасности решений VMware нашел Петрус Вьет из компании VNG Security. Он не только обнаружил уязвимость — Петрус также написал эксплойт к ней и подготовил теханализ. Компания VMware после изучения и тестирования подтвердила эффективность созданного им эксплойта.
Хакеры пока не добрались до уязвимости
Хорошая новость: вендор уже выпустил кумулятивный патч, который закрывает уязвимость, связанную с обходом авторизации, и ряд других багов, включая CVE-2022-31659 — уязвимость, которая позволяла проводить SQL-инъекцию с последующим запуском вредоносного кода.
Судя по всему, уязвимости «обезвредили» раньше, чем кто-то из злоумышленников смог ими воспользоваться — компания VMware сообщила, что не обнаружила ни одного признака эксплуатации этих багов. Тем не менее, после огласки уязвимостей киберпреступники наверняка пожелают их протестировать. Именно поэтому вендор настоятельно рекомендует установить патч безопасности и не рисковать безопасностью корпоративной ИТ-инфраструктуры.
В поисках альтернативы
Если сейчас вы ищите альтернативу продуктам VMware, рекомендуем обратить внимание на VMmanager от ISPsystem. Это отечественное решение для создания масштабируемой и отказоустойчивой среды виртуализации на базе QEMU/KVM и контейнеризации LXD/LXC.
VMmanager используют в самых разных отраслях — платформа популярна у хостинг-провайдеров, государственных организаций, предприятий из финансового сектора, медицинских учреждений и коммерческих компаний разных направлений деятельности.
Попробуйте и вы — запросите демо VMmanager и оцените возможности платформы лично!