Multiples vulnérabilités dans des produits VMware
Date de publication :
CVE-2022-31656[Score CVSS v3.1: 9.8] (critique)
Un défaut dans le processus d’authentification utilisateur dans un domaine local permet à un attaquant distant, ayant accès à l’interface utilisateur, de contourner la politique de sécurité et d’obtenir des droits administrateur sur le système.
CVE-2022-31658[Score CVSS v3.1: 8.0]
Un défaut dans les services VMware Workspace ONE Access, Identity Manager et vRealize Automation permet à un attaquant distant, en envoyant des requêtes spécialement forgées, de provoquer une injection JDBC et d’obtenir une exécution de code arbitraire à distance.
CVE-2022-31659[Score CVSS v3.1: 8.0]
Un défaut dans les services VMware Workspace ONE Access, Identity Manager et vRealize Automation permet à un attaquant distant, en envoyant des requêtes spécialement forgées, de provoquer une injection SQL et d’obtenir une exécution de code arbitraire à distance.
CVE-2022-31660, CVE-2022-31661 et CVE-2022-31664[Score CVSS v3.1: 7.8]
Un défaut dans les services VMware Workspace ONE Access, Identity Manager et vRealize Automation permet à un attaquant local et authentifié, en envoyant des requêtes spécialement forgées, d’élever ses privilèges.
CVE-2022-31665[Score CVSS v3.1: 7.6]
Un défaut dans les services VMware Workspace ONE Access, Identity Manager et vRealize Automation permet à un attaquant distant et authentifié, en envoyant des requêtes spécialement forgées, de provoquer une injection JDBC et d’obtenir une exécution de code arbitraire à distance.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Contournement de la politique de sécurité
Élévation de privilèges
Criticité
Score CVSS v3.1: 9.8 max
La faille est activement exploitée
Non,mais un PoC pour la CVE-2022-31656 existe en sources ouvertes.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour la CVE-2022-31656
CWE-287: Improper Authentication
Pour les CVE-2022-31658 et CVE-2022-31665
CWE-94: Improper Control of Generation of Code ('Code Injection')
Pour la CVE-2022-31659
CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
Pour CVE-2022-31660, CVE-2022-31661 et CVE-2022-31664
CWE 264: Permissions, Privileges, and Access Controls
Détails sur l’exploitation
Pour la CVE-2022-31656
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour les CVE-2022-31658 et CVE-2022-31659
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Elevée.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur avec droits privilégiés.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Pour les CVE-2022-31660, CVE-2022-31661 et CVE-2022-31664
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.
Pour la CVE-2022-31665
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur avec droits privilégiés.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour l’ensemble des CVE présentées
Vmware Workspace ONE Access versions 21.08.0.1 et 21.08.0.0
Vmware Identity Manager versions 3.3.6, 3.3.5 et 3.3.4
Vmware vRealize Automation version 7.6
Vmware Cloud Foundation versions 4.4.x, 4.3.x et 4.2.x
Vmware vRealize Suite Lifecycle Manager 8.x
Pour les CVE-2022-31656, CVE-2022-31658, CVE-2022-31660, CVE-2022-31661, CVE-2022-31664 et CVE-2022-31665
Vmware Cloud Foundation version 3.x
Solutions ou recommandations
Appliquer la mise à jour KB89098, disponible ici.