الثغرات ›

CVE-2022-22960

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

VMware Multiple Products Privilege Escalation Vulnerability — VMware Workspace ONE Access, Identity Manager and vRealize Automation contain a privilege escalation vulnerability due to improper permiss

                    نُشر: Apr 15, 2022                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

VMware Workspace ONE Access, Identity Manager, and vRealize Automation contain a critical privilege escalation vulnerability (CVSS 9.0) in support scripts with improper permissions. An authenticated attacker can exploit this to gain elevated privileges on affected systems. With public exploits available, this poses an immediate threat to organizations using these identity and access management solutions across Saudi Arabia.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 15:32

🇸🇦 التأثير على المملكة العربية السعودية

Critical impact on Saudi banking sector (SAMA-regulated institutions using VMware IAM solutions), government agencies (NCA, NCSC infrastructure), healthcare organizations (MOH systems), and telecommunications providers (STC, Mobily). Organizations using VMware Workspace ONE for employee access management face immediate risk of unauthorized privilege escalation, potentially compromising sensitive data and critical systems. Energy sector (ARAMCO, SABIC) relying on vRealize Automation for infrastructure management is particularly vulnerable.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Healthcare Energy and Utilities Telecommunications Large Enterprises with IAM Infrastructure

🎯 تقنيات MITRE ATT&CK

T1548 - Abuse Elevation Control Mechanism T1548.004 - Elevated Execution with Prompt T1134 - Access Token Manipulation T1547 - Boot or Logon Autostart Execution T1098 - Account Manipulation T1078 - Valid Accounts

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all VMware Workspace ONE Access, Identity Manager, and vRealize Automation instances in your environment

2. Restrict access to affected systems to authorized personnel only

3. Enable enhanced logging and monitoring for privilege escalation attempts

4. Review recent access logs for suspicious activity



PATCHING GUIDANCE:

1. Apply VMware security patches immediately (check VMware security advisories for specific versions)

2. Prioritize production identity management systems

3. Test patches in non-production environments first

4. Schedule maintenance windows for patching



COMPENSATING CONTROLS:

1. Implement principle of least privilege for service accounts

2. Disable unnecessary support scripts if not required

3. Apply file permission hardening to support script directories

4. Implement multi-factor authentication for administrative access

5. Use privileged access management (PAM) solutions for elevated operations



DETECTION RULES:

1. Monitor for unauthorized execution of support scripts

2. Alert on privilege escalation attempts from service accounts

3. Track changes to file permissions on critical VMware directories

4. Monitor for unusual process execution with elevated privileges

5. Implement SIEM rules for suspicious authentication patterns

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع نسخ VMware Workspace ONE Access و Identity Manager و vRealize Automation في بيئتك

2. تقييد الوصول للأنظمة المتأثرة للموظفين المصرح لهم فقط

3. تفعيل السجلات المحسنة والمراقبة لمحاولات تصعيد الامتيازات

4. مراجعة سجلات الوصول الأخيرة للنشاط المريب

إرشادات التصحيح:

1. تطبيق تصحيحات أمان VMware فوراً

2. إعطاء الأولوية لأنظمة إدارة الهوية الإنتاجية

3. اختبار التصحيحات في بيئات غير الإنتاج أولاً

4. جدولة نوافذ الصيانة للتصحيح

الضوابط البديلة:

1. تطبيق مبدأ أقل امتياز لحسابات الخدمة

2. تعطيل السكريبتات غير الضرورية إن لم تكن مطلوبة

3. تطبيق تقسية أذونات الملفات على مجلدات السكريبتات

4. تطبيق المصادقة متعددة العوامل للوصول الإداري

5. استخدام حلول إدارة الوصول المميز (PAM)

قواعد الكشف:

1. مراقبة التنفيذ غير المصرح للسكريبتات

2. التنبيه على محاولات تصعيد الامتيازات

3. تتبع التغييرات في أذونات الملفات

4. مراقبة تنفيذ العمليات المريبة

5. تطبيق قواعل SIEM لأنماط المصادقة المريبة

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.9.2.1 - User access management and privilege escalation controls ECC 2024 A.9.4.3 - Password management and authentication mechanisms ECC 2024 A.12.4.1 - Event logging and monitoring requirements ECC 2024 A.14.2.1 - Secure development and change management

🔵 SAMA CSF

SAMA CSF ID.AM-1 - Asset management and inventory SAMA CSF PR.AC-1 - Access control and authentication SAMA CSF PR.AC-4 - Access rights and privilege management SAMA CSF DE.CM-1 - Detection and monitoring capabilities

🟡 ISO 27001:2022

ISO 27001:2022 A.5.15 - Access control ISO 27001:2022 A.8.2 - Privileged access rights ISO 27001:2022 A.8.3 - Information access restriction ISO 27001:2022 A.12.4.1 - Event logging

🟣 PCI DSS v4.0

PCI DSS 2.1 - Default security parameters PCI DSS 7.1 - Limit access to system components PCI DSS 8.2 - Ensure proper user authentication PCI DSS 10.2 - Implement automated audit trails

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

VMware:Multiple Products

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS70.42%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2022-05-06

تاريخ النشر 2022-04-15

المصدر cisa_kev

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2022-22960

عرّفنا بنفسك

تسجيل الدخول مطلوب