Das DHS empfiehlt das Patchen von VMware

Das Ministerium für Innere Sicherheit der Vereinigten Staaten fordert US-Bundesbehörden auf, eine Liste von VMware-Produkten innerhalb von fünf Tagen zu „patchen oder zu entfernen“. Aktualisieren auch Sie Ihre Produkte.

Am 18. Mai hat VMware die Schwachstellen CVE-2022-22972 und CVE-2022-22973 in seinen Produkten gepatcht. Um die Schwere des Problems zu unterstreichen, erließ das Ministerium für Innere Sicherheit der Vereinigten Staaten (US Department of Homeland Security) am selben Tag eine Richtlinie, die alle Behörden der Federal Civilian Executive Branch (FCEB) dazu verpflichtet, die genannten Schwachstellen in ihrer Infrastruktur innerhalb von fünf Tagen zu schließen – entweder durch die Installation der Patches oder durch das Entfernen jeglicher VMware-Produkte aus dem Agenturnetzwerk. Es scheint also sinnvoll, dem Beispiel der amerikanischen Regierungsbehörden zu folgen und die Patches unverzüglich zu installieren.

Um diese Schwachstellen geht es

Die Schwachstellen betreffen fünf Produkte des Unternehmens – VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation und vRealize Suite Lifecycle Manager.

Die erste Schwachstelle, CVE-2022-22972, wird auf der CVSS-Skala mit dem Schweregrad 9,8, d. h. sehr gefährlich, eingestuft. Der Exploit dieser Sicherheitslücke kann es einem Angreifer ermöglichen, ohne Authentifizierung Administratorrechte im System zu erlangen.

Die zweite Schwachstelle, CVE-2022-22973, steht im Zusammenhang mit der Rechteausweitung (Privilege Escalation). Um diese Sicherheitslücke ausnutzen zu können, müssen Angreifer bereits über Rechte auf dem angegriffenen System verfügen; Dies erklärt den auf der CVSS-Skala etwas niedriger eingestuften Schweregrad von 7,8. Dennoch sollte auch dieser Bug ernst genommen werden, da er es Angreifern ermöglicht, Root-Rechte zu erhalten.

Weitere Informationen finden Sie in den offiziellen FAQ zu diesem Thema.

Schweregrad der Sicherheitslücken CVE-2022-22973 & CVE-2022-22972

VMware- und CISA-Experten ist bisher nicht bekannt, dass diese Schwachstellen aktiv ausgenutzt werden. Die Notfallrichtlinie, die im Rahmen der Schwachstellen von der CISA erlassen wurde, ist jedoch gut begründet: Anfang April schloss VMware bereits mehrere Schwachstellen in denselben Produkten, doch nur 48 Stunden später begannen Angreifer, diese aktiv auszunutzen (auf Servern, auf denen VMware-Software noch nicht gepatcht worden war). D. h., die Angreifer brauchten weniger als zwei Tage, um effektive Exploits zu erstellen, weshalb die Sorge, dass dies erneut passieren könnte, durchaus berechtigt ist.

Darüber hinaus gehen die Experten von CISA davon aus, dass jemand die beiden neuen Schwachstellen in Verbindung mit dem April-Batch (insbesondere CVE 2022-22954 und CVE 2022-22960) verwenden könnte, um ausgeklügelte zielgerichtete Angriffe durchzuführen. Aus diesem Grund wurden alle Bundesbehörden dazu aufgefordert, die Schwachstellen bis zum 23. Mai 2022 (17:00 Uhr EDT) zu schließen.

So vermeiden Sie den Exploit von Schwachstellen in VMWare-Produkten

VMware empfiehlt, anfällige Software auf unterstützte Versionen zu aktualisieren und erst dann die Patches zu installieren. Die aktuellen Versionen finden Sie auf der Seite VMware LogoProduct Lifecycle Matrix. Vor der Installation wird empfohlen, Backups oder Schnappschüsse von Programmen zu erstellen, die aktualisiert werden müssen. Patches und Installationstipps finden Sie in der Wissensdatenbank von VMware.

Darüber hinaus sollten Sie nicht vergessen, dass alle Informationssysteme mit Internetzugang, zuverlässige Sicherheitslösungen installiert haben müssen. Im Falle virtueller Umgebungen sollte ein spezialisierter Schutz verwendet werden.

Als zusätzliche Schutzebene ist es auch sinnvoll, Lösungen zu verwenden, mit denen Sie Aktivitäten in der gesamten Infrastruktur überwachen können, um Angreifer fernzuhalten.

Tipps