VMware publica parche de falla crítica de omisión de autenticación en múltiples productos

VMWARE — PM2NET

VMware advirtió a los clientes que parchen de inmediato una vulnerabilidad crítica de omisión de autenticación que afecta a los usuarios del dominio local en múltiples productos que pueden explotarse para obtener privilegios de administrador. La falla encontrada en el CVE-2022-22972 fue informada por Bruno López de Innotec Security, quien descubrió que afecta a Workspace ONE Access, VMware Identity Manager (vIDM) y vRealize Automation. Adicionalmente VMware ha corregido la vulnerabilidad CVE-2022-22973 con severidad alta y que permite a un actor malicioso con acceso local pueda escalar los privilegios a «root»

Impacto de la vulnerabilidad

VMware Workspace ONE Access e Identity Manager contienen una vulnerabilidad de escalada de privilegios. VMware ha evaluado la gravedad de este problema en el rango de gravedad Importante con una puntuación base CVSSv3 máxima de 7,8. Según VMware sobre el CVE-2022-22972 un actor malintencionado con acceso de red a la interfaz de usuario puede obtener acceso administrativo sin necesidad de autenticarse, en cambio para el CVE-2022-22973 un actor malicioso con acceso local puede escalar los privilegios a ‘root’.

La lista completa de productos de VMware afectados por estos errores de seguridad incluye:

  • VMware Workspace ONE Access (Access)
  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Listado de versiones afectadas

A continuación se detalla las versiones que fueron afectadas:

ProductosVersiones
Vmware Workspace ONE Access Appliance21.08.0.1
Vmware Workspace ONE Access Appliance21.08.0.0
Vmware Workspace ONE Access Appliance20.10.0.1
Vmware Workspace ONE Access Appliance20.10.0.0
Vmware Identity Manager Appliance3.3.6
Vmware Identity Manager Appliance3.3.5
Vmware Identity Manager Appliance3.3.4
Vmware Identity Manager Appliance3.3.3
Vmware Realize Automation7.6

El fabricante indica que la única forma de eliminar las vulnerabilidades de su entorno es aplicar los parches proporcionados en VMSA-2021-0014 en todos los productos/versiones vulnerables.

Workaround

Para el CVE-2022-22972 VMware menciona una solución temporal a esta vulnerabilidad, la cual se detalla a continuación:

Pre-deployment guidelines

  • Se recomienda actualizar las instancias de versiones no compatibles a versiones compatibles más nuevas antes de aplicar la solución alternativa.
  • Es posible que este procedimiento no funcione para versiones anteriores no compatibles.
  • Se recomienda encarecidamente tomar una instantánea de los dispositivos y una copia de seguridad de la base de datos antes de aplicar la solución alternativa.

Procedimiento para aplicar el Workaround

1. Ejecutar View-Active-Admin-users.sql para ver todos los administradores (también se incluyen los administradores de solo lectura) y ejecute View-Active-Local-users.sql para ver todos los usuarios locales que se desactivarán. Asegurar de que View-Active-Admin-users.sql muestre al menos 1 administrador aprovisionado (generalmente de un Directorio)

2. Ejecutar Disable_All_Local_users.sql para deshabilitar todos los usuarios y administradores locales.

3. Ejecutar View-Active-Admin-users.sql para ver qué administradores permanecen activos ahora. Solo los administradores de tipo de usuario aprovisionados (generalmente usuarios de directorio).

4. Iniciar sesión en el dispositivo Workspace ONE Access/VMware Identity Manager con un cliente ssh como usuario raíz. Reiniciar el servicio con el comando «service horizon-workspace restart». Repetir este proceso para todos los dispositivos que se tenga en el entorno.

5. Hasta que se apliquen las revisiones, no crear nuevos usuarios locales.

Procedimiento para revertir el workaround

  1. Ejecutar Reenable_Disabled_Users.sql para habilitar a los usuarios previamente deshabilitados.
  2. Ejecutar View-Active-Admin-users.sql y View-Active-Local-users.sql para confirmar que los usuarios y administradores locales se han vuelto a habilitar.

Recomendaciones

  • Parchar inmediatamente los productos que tenga el cliente de acuerdo a sus versiones.

Para mas información

  • https://www.bleepingcomputer.com/news/security/vmware-patches-critical-auth-bypass-flaw-in-multiple-products/
  • https://www.vmware.com/security/advisories/VMSA-2022-0014.html
  • https://www.cisa.gov/uscert/ncas/alerts/aa22-138b
  • https://kb.vmware.com/s/article/88433