VMware warnt vor Sicherheitslücken

VMware fordert seine Kunden auf, ihre Software zu aktualisieren, um kritische Schwachstellen zu beheben, einschließlich eines RCE-Bugs (Remote Code Execution) in Workspace ONE Access. Am Mittwoch veröffentlichte der Tech-Riese einen Sicherheitshinweis, in dem er vor Schwachstellen in seiner Unternehmenssoftware warnte. Betroffen sind die Produkte VMware Workspace ONE Access, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation und vRealize Suite Lifecycle Manager.

Die erste Schwachstelle ist CVE-2022-22954, die sich auf VMware Workspace ONE Access und Identity Manager auswirkt. CVE-2022-22954 wird als serverseitige Template Injection RCE beschrieben und wurde mit einem CVSS Severity Score von 9.8 bewertet. Die Schwachstelle kann von Angreifern ausgenutzt werden, solange sie Zugang zum Netzwerk haben.

VMware hat außerdem Patches zur Behebung der Schwachstellen CVE-2022-22955 und CVE-2022-22956 entwickelt; beide wurden mit einem CVSS-Score von 9,8 bewertet und betreffen VMware Workspace ONE Access. Die Schwachstellen wurden im OAuth2 ACS Framework gefunden.

Nach Angaben des Anbieters kann ein böswilliger Akteur den Authentifizierungsmechanismus umgehen und beliebige Operationen aufgrund von exponierten Endpunkten im Authentifizierungs-Framework ausführen.

Zwei weitere Bugs, CVE-2022-22957 und CVE-2022-22958 (CVSS 9.1), wurden in Workspace ONE Access, Identity Manager und vRealize Automation behoben. Bedrohungsakteure könnten die Deserialisierung von nicht vertrauenswürdigen Daten über den JDBC-URI-Parameter auslösen, der Java-Anwendungen und ihre Datenbankverbindungen verwaltet, um einen RCE auszulösen. Allerdings müssen die Angreifer über administrative Rechte verfügen.

Das gleiche Software-Trio war auch anfällig für CVE-2022-22959 (CVSS 8.8), einen Cross-Site-Request-Forgery (CSRF)-Bug, der zur Validierung eines bösartigen JDBC-URIs verwendet werden kann.

VMware hat außerdem CVE-2022-22960 (CVSS 7.8), einen Fehler zur lokalen Privilegienerweiterung, und CVE-2022-22961 (CVSS 5.3), ein Informationsleck in Workspace ONE Access, Identity Manager und vRealize Automation, behoben. VMware hat keine Hinweise darauf gefunden, dass die Schwachstellen aktiv ausgenutzt werden.

Patches sind verfügbar, aber falls dies nicht möglich ist, hat der Hersteller auch Anleitungen zur Umgehung bereitgestellt, um das Angriffsrisiko zu mindern.

Weitere VMware-Nachrichten in diesem Monat betreffen das Open-Source-Framework SpringShell/Spring4Shell des Anbieters, eine kritische Schwachstelle im Kern der Software, die zur Remote-Code-Ausführung (RCE) ausgenutzt werden kann.

Spring4Shell wird als CVE-2022-22965 geführt und hat einen CVSS-Score von 8.1. Betroffen sind Tomcat-Servicer, die Spring MVC/WebFlux mit JDK 9+ einsetzen. Darüber hinaus betrifft die Sicherheitslücke auch VMware Tanzu Application Service for VMs, Tanzu Operations Manager und Tanzu Kubernetes Grid Integrated Edition.