«Любимцы» киберпреступников Citrix Gateway и VMware Workspace ONE имеют ошибки обхода аутентификации, которые могут предоставить злоумышленникам полный доступ.
Критические уязвимости обхода аутентификации в предложениях Citrix и VMware угрожают полным захватом устройств с удаленными рабочими пространствами, предупредили производители на этой неделе.
Администраторы должны уделять первоочередное внимание исправлениям, учитывая историю эксплуатации уязвимостей обоими поставщиками. Обе новости вызвали выпуск предупреждений CISA.
Citrix Gateway: Идеальный путь для заражения организаций
Что касается Citrix, критическая ошибка, отслеживаемая как CVE-2022-27510 (с оценкой критичности уязвимости по шкале CVSS 9,8 из 10), позволяет получить неаутентифицированный доступ к Citrix Gateway, когда устройство используется в качестве решения SSL VPN. В такой конфигурации он предоставляет доступ к внутренним приложениям компании с любого устройства через Интернет, а также предлагает единую регистрацию для всех приложений и устройств. Другими словами, дефект дает злоумышленнику возможность легко получить первоначальный доступ, затем проникнуть в облако организации и посеять хаос во всей сети.
Citrix также отметила в рекомендации, что ее продукт Application Delivery Controller (ADC), который используется для обеспечения административной видимости приложений в нескольких облачных средах, уязвим для удаленного захвата рабочего стола (CVE-2022-27513, CVSS 8.3) и обхода защиты грубой силой (CVE-2022-27516, CVSS 5.3).
Исследователь компании Tenable Сатнам Наранг отметил, что Citrix Gateway и ADC, благодаря тому, что они обеспечивают доступ ко многим активам организации, всегда являются излюбленными мишенями для киберпреступников, поэтому сейчас крайне важно установить последние исправления.
«За последние несколько лет ADC и шлюзы Citrix регулярно становились мишенью для целого ряда субъектов угроз посредством эксплуатации CVE-2019-19781, критической уязвимости обхода пути, которая была впервые раскрыта в декабре 2019 года и впоследствии использовалась начиная с января 2020 года после того, как скрипты эксплойтов для этого дефекта стали общедоступными» - написал он в блоге в среду.
«CVE-2019-19781 была использована спонсируемыми государством субъектами угроз, связанными с Китаем и Ираном, в рамках атак с использованием выкупного ПО на различные организации, включая сектор здравоохранения, и недавно была включена в обновленный список основных уязвимостей, эксплуатируемых спонсируемыми государством субъектами Китайской Народной Республики с начала октября» - продолжил Наранг.
Пользователям следует как можно скорее обновить шлюз до версий 13.1-33.47, 13.0-88.12 и 12.1-65.21, чтобы устранить проблемы.
VMware Workspace ONE Assist: Трио киберпреступлений
Тем временем компания VMware сообщила о трех ошибках обхода аутентификации, все в своем Workspace ONE Assist для Windows. Ошибки (CVE-2022-31685, CVE-2022-31686 и CVE-2022-31687, все с CVSS 9.8) позволяют локальным и удаленным злоумышленникам получить привилегии административного доступа без необходимости аутентификации, что дает им возможность полностью управлять целевыми устройствами.
Workspace ONE Assist - это продукт для удаленного рабочего стола, который в основном используется техподдержкой для устранения неполадок и решения ИТ-проблем сотрудников на расстоянии; как таковой, он работает с наивысшим уровнем привилегий, что потенциально дает удаленным злоумышленникам идеальную цель первоначального доступа и точку поворота к другим корпоративным ресурсам.
VMware также раскрыла две дополнительные уязвимости в Workspace ONE Assist. Одна из них – кросссайт-скриптинг (XSS) (CVE-2022-31688, CVSS 6.4), а другая (CVE-2022-31689, CVSS 4.2) позволяет «злоумышленнику, получившему действительный токен сессии, аутентифицироваться в приложении с помощью этого токена» согласно опубликованному во вторник сообщению производителя.
Как и Citrix, VMware уже не раз становилась мишенью для киберпреступников. Критическая уязвимость в Workspace ONE Access (используется для доставки корпоративных приложений удаленным сотрудникам) под номером CVE-2022-22954, раскрытая в апреле, была почти сразу же сопровождена эксплойтом для доказательства концепции, опубликованным на GitHub и выложенным в твиттере. Неудивительно, что вскоре после этого исследователи из многочисленных компаний, занимающихся вопросами безопасности, начали отмечать попытки проб и эксплойтов - с конечной целью заражения целей различными ботнетами или создания бэкдора через Log4Shell.
Пользователям следует обновить Workspace ONE Assist до версии 22.10, чтобы устранить все недавно обнаруженные проблемы.
Источник: https://www.darkreading.com