Código de explotación para hackear productos de VMware es divulgada públicamente. PoC para CVE-2022-22972

Se ha divulgado públicamente el código de una prueba de concepto (PoC) para CVE-2022-22972, una vulnerabilidad crítica en algunos productos de VMware como Workspace ONE Access, Identity Manager y vRealize Automation.

Esta PoC fue publicada por los investigadores de la firma de seguridad Horizon3, en conjunto con un análisis técnico, después de que VMware lanzara las actualizaciones correspondientes: “Este script puede usarse mediante la evasión de autenticación en vRealize Automation”, reportan los investigadores.

Un escaneo con Shodan muestra una cantidad limitada de dispositivos VMware potencialmente comprometidos, la mayoría usados por organizaciones industriales, hospitales y entidades gubernamentales. Los expertos de Horizon3 mencionan que esta vulnerabilidad de manipulación de encabezado es relativamente simple y los actores de amenazas no deberían tener grandes dificultades para explotar implementaciones sin actualizar.

Al respecto, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) emitió una Directiva de Emergencia en la que se ordena a las agencias federales en E.U. actualizar de inmediato los productos VMware vulnerables, e incluso eliminarlos de ser necesario.

Si bien esta falla no ha sido explotada en escenarios reales, los actores de amenazas han comenzado a atacar implementaciones corregidas para tratar de inyectar un minero de criptomoneda: “CISA espera que los actores de amenazas desarrollen rápidamente la capacidad para explotar estas vulnerabilidades”.

Este ha sido un año difícil para VMware. En abril, la compañía corrigió dos vulnerabilidades críticas de ejecución remota y escalada de privilegios identificadas como CVE-2022-22954 y CVE-2022-229600 en VMware Workspace ONE Access y VMware Identity Manager.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).