Securitybedrijf meldt grootschalig misbruik van lek in VMware Workspace One
Er wordt op dit moment op grote schaal misbruik gemaakt van een kritieke kwetsbaarheid in VMware Workspace One Access, zo claimt securitybedrijf Rapid7. Via het beveiligingslek, aangeduid als CVE-2022-22954, kan een ongeauthenticeerde aanvaller die toegang tot de webinterface heeft door middel van server-side template injection willekeurige code op het systeem uitvoeren.
Voor de kwetsbaarheid, waarvan de impact op een schaal van 1 tot en met 10 beoordeeld is met een 9.8, bracht VMware op 6 april een beveiligingsupdate uit. Bij de waargenomen aanvallen installeren aanvallers backdoors en coinminers op systemen. Op 13 april meldde VMware dat aanvallers actief misbruik van het lek maken. Inmiddels is er sprake van grootschalig misbruik, aldus Rapid7.
Het bedrijf noemt geen cijfers over het aantal aanvallen. Wel zouden computers die onderdeel van een botnet zijn scans naar kwetsbare VMware-systemen uitvoeren. Organisaties worden dan ook opgeroepen om de kwetsbaarheid meteen te patchen en niet op de reguliere patchcyclus te wachten. Eerder stelde het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security dat alle federale overheidsinstanties de VMware-update voor 5 mei moeten hebben geïnstalleerd.
Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.
