L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) émet une directive d’urgence concernant quatre vulnérabilités présentes dans cinq produits VMware : Workspace ONE Access (Access), Identity Manager (vIDM), vRealize Automation (vRA), Cloud Foundation et vRealize Suite Lifecycle Manager.

« L’exploitation de l’une des quatre vulnérabilités permet aux attaquants d’exécuter du code à distance sur un système sans authentification et d’élever leurs privilèges », prévient la CISA. « Ces vulnérabilités posent un risque inacceptable pour la sécurité des réseaux fédéraux. ». Elle demande aux instances fédérales américaines de retirer les produits VMware de leurs réseaux si elles ne peuvent pas appliquer le correctif dans les 48 heures suivant sa publication, c’est-à-dire d’ici la fin de cette journée.

De son côté, VMware a publié un ensemble de correctifs le 18 mai – baptisé VMSA-2022-0014 – qui traite « à la fois les vulnérabilités de notre avis d’avril, y compris la faille critique CVE-2022-22954, et les deux vulnérabilités supplémentaires (CVE-2022-22972 et CVE-2022-22973) découvertes et résolues ultérieurement dans les mêmes produits. »