أعطيت اثنتان من العيوب درجة خطورة 9.8
أصدرت شركة VMware العملاقة للمحاكاة الافتراضية تصحيحات لأربع نقاط ضعف في منتجها vRealize Log Insight، اثنان منها لهما تصنيف حرج.
الزوجان المهمان هما CVE-2022-31703 و CVE-2022-31704. الأول هو ثغرة أمنية لاجتياز الدليل، والثاني هو تعطيل التحكم في الوصول. كلاهما لديه درجة خطورة 9.8، وكلاهما يسمح للجهات الفاعلة بالتهديد بالوصول إلى الموارد التي قد يتعذر الوصول إليها لولا ذلك.
أوضح VMware: يمكن لممثل ضار غير مصادق حقن الملفات في نظام تشغيل الجهاز المتأثر، مما يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد.
البيانات الحساسة في خطر
الثغرتان الأخريان هما CVE-2022-31710 و CVE-2022-31711. الأول هو ثغرة أمنية لإلغاء التسلسل تسمح للجهات الفاعلة بالتهديد بالتلاعب بالبيانات وشن هجمات رفض الخدمة. درجة الخطورة 7.5. هذا الأخير هو خطأ في الكشف عن المعلومات 5.3 يمكن استخدامه لسرقة البيانات الحساسة.
للحماية من هذا الخلل، يُنصح المستخدمون بتطبيق التصحيح على الفور وترقية نقاط النهاية الخاصة بهم إلى الإصدار 8.10.2. أولئك الذين لا يستطيعون تطبيق التصحيح حاليًا يمكنهم أيضًا تطبيق الحل البديل.
وأكد المنشور أنه تم اكتشاف الثغرات في الأصل من خلال برنامج يوم الصفر. قال أعضاء البرنامج إنه حتى الآن لا يوجد دليل على إساءة استخدام نقاط الضعف.
قال داستن تشايلدز، قائد التوعية بالتهديدات في Trend Micro ZDI، لـ The Register، "لسنا على علم بأي رمز استغلال متاح للجمهور أو هجمات نشطة باستخدام هذه الثغرة الأمنية." بينما لا توجد حاليًا خطط لإصدار دليل على مفهوم هذا الخطأ، نحن نعمل على متابعة البحث في برنامج VMware وتقنيات المحاكاة الافتراضية الأخرى.
vRealize Log Insight هي أداة لإدارة السجلات. على الرغم من أن بعض الحلول الأخرى لشركة VMware لا تحظى بشعبية كبيرة، إلا أن وجود الشركة في القطاعين العام والخاص قد يجعل جميع منتجاتها أهدافًا جذابة لمجرمي الإنترنت الذين يبحثون عن نقاط ضعف.