상세 컨텐츠

본문 제목

치명적인 VMware 인증 우회 취약점 익스플로잇 공개돼

국내외 보안동향

by 알약4 2022. 5. 27. 09:00

본문

Exploit released for critical VMware auth bypass bug, patch now

 

공격자가 관리자 권한을 얻도록 허용하는 VMware 제품 다수의 치명적인 인증 우회 취약점의 PoC 익스플로잇 코드가 온라인에 공개되었습니다.

 

VMware Workspace ONE Access, vIDM(VMware Identity Manager), vRealize Automation에 영향을 미치는 CVE-2022-22972 취약점을 패치하는 보안 업데이트를 출시했습니다.

 

또한 회사는 취약한 어플라이언스를 즉시 패치할 수 없는 경우에 사용할 수 있는 임시 해결책을 공유해 관리자 한 명을 제외한 모든 사용자를 비활성화할 것을 추천했습니다.

 

Horizon3의 보안 연구원들은 지난 화요일 CVE-2022-22972 PoC가 이번 주에 공개될 것이라 발표한 후 금일 이 취약점에 대한 PoC 익스플로잇 및 기술 분석을 발표했습니다.

 

연구원들은 아래와 같이 설명했습니다.

 

"이 스크립트는 CVE-2022-22972를 통해 vRealize Automation 7.6에서 인증을 우회하여 사용할 수 있습니다.”

 

“Workspace ONE vIDM은 인증 엔드포인트는 다르지만 취약점의 핵심은 동일합니다.”

 

Shodan은 해당 버그를 노리는 공격에 노출된 적은 수의 VMware 어플라이언스만을 표시하지만, 여기에는 공격을 받을 위험이 높은 여러 의료, 교육 산업, 주 정부 조직이 포함되어 있었습니다.

 

CVE-2022-22972는 비교적 단순한 '호스트' 헤더 조작 취약점입니다. 연구원들은 목적을 가진 공격자가 손쉽게 이 취약점에 대한 익스플로잇을 개발할 수 있을 것이라 밝혔습니다.

 

 

<이미지 출처 : https://www.horizon3.ai/vmware-authentication-bypass-vulnerability-cve-2022-22972-technical-deep-dive/>

<vRealize Automation 관리자로 로그인 성공>

 

 

심각한 결과를 초래하는 치명적인 취약점

 

VMware는 지난주 "이 치명적인 취약점은 VMSA-2021-0014의 지침에 따라 즉시 패치 또는 완화되어야 한다"고 경고했습니다.

 

"이 취약점이 초래하는 결과는 심각합니다. 취약점의 심각성을 고려했을 때 즉시 조치를 취하는 것이 좋습니다."

 

CISA FCEB(Federal Civilian Executive Branch) 기관에 네트워크 내 VMware 제품을 즉시 업데이트하거나 제거할 것을 명령해 이 보안 취약점의 심각성을 더욱 강조했습니다.

 

지난 4, VMware VMware Workspace ONE Access VMware Identity Manager에 존재하는 치명적인 원격 코드 실행(CVE-2022-22954) 및 루트 권한 상승(CVE-2022-229600) 문제를 추가로 패치했습니다.

 

CVE-2022-22972 VMware 인증 우회 취약점은 아직까지 악용되지는 않았지만, 지난 4월 패치된 인증 우회 취약점은 공격자가 48시간 이내에 악용해 취약한 시스템을 백도어에 감염시키고 코인 채굴기를 설치하기 시작했습니다.

 

"CISA는 공격자가 동일한 VMware 제품에서 새로이 발견된 취약점을 악용하기 위한 기능을 신속히 개발할 것이라 기대합니다."

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-vmware-auth-bypass-bug-patch-now/

https://www.horizon3.ai/vmware-authentication-bypass-vulnerability-cve-2022-22972-technical-deep-dive/

 

관련글 더보기

댓글 영역