Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt vor aktuellen Angriffen auf zwei Sicherheitslücken in VMware-Produkten. Betroffen seien VMware Workspace ONE Access, VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation und vRealize Suite Lifecycle Manager. Zudem hat VMware neue Sicherheitsupdates veröffentlicht, bei denen die CISA glaubt, dass Cyberkriminelle die damit geschlossenen Lücken in Kürze attackieren. Die aktuell angegriffene serverseitige Template-Injection-Lücke können Cyberkriminelle missbrauchen, um Schadecode einzuschleusen und auszuführen (CVE-2022-22954, CVSS 9.8, Risiko „kritisch“). Die zweite derzeit aktiv missbrauchte Sicherheitslücke erlaubt die Ausweitung der eigenen Rechte auf root-Privilegien (CVE-2022-22960, CVSS 7.8, hoch). Diese Schwachstellen hat VMware bereits im April mit Updates ausgebessert. Der CISA zufolge hätten bösartige Cyber-Akteure jedoch die Patches Reverse-Engineered. Bereits zwei Tage nach Bereitstellung der Updates hatten sie einen Exploit für die Schwachstellen entwickelt und damit zügig Systeme angegriffen, die noch nicht mit den Aktualisierungen ausgestattet waren. Die CISA geht davon aus, dass Angreifer für die jetzt neu gemeldeten Sicherheitslücken in VMware ebenso zügig erfolgreich Exploits entwickeln. Sie sieht sich veranlasst, eine Notfallrichtlinie zu erlassen, die den Behörden das umgehende Aufschlüsseln betroffenen Systeme und das Installieren der Updates vorschreibt. Für den Fall, dass die Aktualisierungen nicht angewendet werden können, müssen die Behörden betroffene Systeme abschalten. Die neuen Sicherheitslücken umfassen eine Möglichkeit für lokale Domänennutzer, die Authentifizierung zu umgehen (CVE-2022-22972, CVSS 9.8, kritisch). Zudem könnten Angreifer durch eine Schwachstelle in VMware Workspace ONE Access und Identity Manager ihre Rechte ausweiten (CVE-2022-22973, CVSS 7.8, hoch). Aktualisierte Software verlinkt VMware in einem Hilfeartikel. Da die teils kritischen Sicherheitslücken sehr wahrscheinlich in Kürze angegriffen werden, sollten IT-Verantwortliche nicht zögern und so schnell wie möglich ein Wartungsfenster einrichten, um die bereitgestellten Aktualisierungen herunterzuladen und anzuwenden.