"מוצרי VMware לא מעודכנים – סיכון שלא מתקבל על הדעת"

הממשל הפדרלי בארצות הברית הזהיר בסוף השבוע שמוצרי VMWare שאינם מעודכנים ושאין בהם את טלאי האבטחה האחרונים מהווים "סיכון בלתי מתקבל על הדעת לאבטחת הרשת הפדרלית".

הפגיעויות שהסוכנות לאבטחת סייבר ותשתיות של ארצות הברית, CISA, הזהירה מפניהן קשורות לחמישה מוצרים: VMware Workspace ONE Access, VMware Identity Manager, vRealize Automation, VMware Cloud Foundation ו-vRealize Suite Lifecycle Manager. אחת הפגיעויות "זכתה" לציון 9.8 בדירוג החומרה שלה.

באזהרת הסוכנות נכתב כי "ניצול אחת מהחולשות מאפשר לתוקפים לבצע השתלטות מרחוק על המערכת בלא צורך באימות והרשאות".

"הפגיעויות הללו מהוות סיכון בלתי מתקבל על הדעת לאבטחת הרשת הפדרלית", אמרה ג'ן איסטרלי, ראשת CISA. לדברי הסוכנות, "התרעה דחופה זו נועדה להבטיח שסוכנויות אזרחיות פדרליות ינקטו פעולה דחופה כדי להגן על הרשתות שלהן. בנוסף, אנחנו מפצירים בפני כל ארגון – גדול כקטן – ללכת בעקבות הממשל הפדרלי ולנקוט בצעדים דומים, כדי להגן על הרשתות שלהם".

יצוין ש-VMware עודדה לקוחות שעדיין לא עדכנו את המוצרים הללו להשתמש במערך של תיקונים שאותם היא הנפיקה בשבוע שעבר.

מומחים ציינו שבשנה החולפת, האקרים צפון קוריאנים ניצלו חולשות שהיו במוצרי ושירותי ענקית הווירטואליזציה להתקין נוזקות, חלקן עם דלת אחורית, שקשורות לפגיעות Log4J.