VMware warnt vor Sicherheitslücken

VMware fordert seine Kunden auf, ihre Software zu aktualisieren, um kritische Schwachstellen zu beheben, einschließlich eines RCE-Bugs (Remote Code Execution) in Workspace ONE Access. Am Mittwoch veröffentlichte der Tech-Riese einen Sicherheitshinweis, in dem er vor Schwachstellen in seiner Unternehmenssoftware warnte. Betroffen sind die Produkte VMware Workspace ONE Access, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation und vRealize Suite Lifecycle Manager.

Die erste Schwachstelle ist CVE-2022-22954, die sich auf VMware Workspace ONE Access und Identity Manager auswirkt. CVE-2022-22954 wird als serverseitige Template Injection RCE beschrieben und wurde mit einem CVSS Severity Score von 9.8 bewertet. Die Schwachstelle kann von Angreifern ausgenutzt werden, solange sie Zugang zum Netzwerk haben.

VMware hat außerdem Patches zur Behebung der Schwachstellen CVE-2022-22955 und CVE-2022-22956 entwickelt; beide wurden mit einem CVSS-Score von 9,8 bewertet und betreffen VMware Workspace ONE Access. Die Schwachstellen wurden im OAuth2 ACS Framework gefunden.

Nach Angaben des Anbieters kann ein böswilliger Akteur den Authentifizierungsmechanismus umgehen und beliebige Operationen aufgrund von exponierten Endpunkten im Authentifizierungs-Framework ausführen.

Zwei weitere Bugs, CVE-2022-22957 und CVE-2022-22958 (CVSS 9.1), wurden in Workspace ONE Access, Identity Manager und vRealize Automation behoben. Bedrohungsakteure könnten die Deserialisierung von nicht vertrauenswürdigen Daten über den JDBC-URI-Parameter auslösen, der Java-Anwendungen und ihre Datenbankverbindungen verwaltet, um einen RCE auszulösen. Allerdings müssen die Angreifer über administrative Rechte verfügen.

Das gleiche Software-Trio war auch anfällig für CVE-2022-22959 (CVSS 8.8), einen Cross-Site-Request-Forgery (CSRF)-Bug, der zur Validierung eines bösartigen JDBC-URIs verwendet werden kann.

VMware hat außerdem CVE-2022-22960 (CVSS 7.8), einen Fehler zur lokalen Privilegienerweiterung, und CVE-2022-22961 (CVSS 5.3), ein Informationsleck in Workspace ONE Access, Identity Manager und vRealize Automation, behoben. VMware hat keine Hinweise darauf gefunden, dass die Schwachstellen aktiv ausgenutzt werden.

Patches sind verfügbar, aber falls dies nicht möglich ist, hat der Hersteller auch Anleitungen zur Umgehung bereitgestellt, um das Angriffsrisiko zu mindern.

Weitere VMware-Nachrichten in diesem Monat betreffen das Open-Source-Framework SpringShell/Spring4Shell des Anbieters, eine kritische Schwachstelle im Kern der Software, die zur Remote-Code-Ausführung (RCE) ausgenutzt werden kann.

Spring4Shell wird als CVE-2022-22965 geführt und hat einen CVSS-Score von 8.1. Betroffen sind Tomcat-Servicer, die Spring MVC/WebFlux mit JDK 9+ einsetzen. Darüber hinaus betrifft die Sicherheitslücke auch VMware Tanzu Application Service for VMs, Tanzu Operations Manager und Tanzu Kubernetes Grid Integrated Edition.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

6 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago