CTIR Gov publica nova vulnerabilidade em produtos VMware

1. A VMWare publicou vulnerabilidades críticas de segurança nos produtos VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion Pro / Fusion (Fusion) e VMware Cloud Foundation, descritas na Common Vulnerabilities and Exposures (CVE) abaixo relacionada:

• https://nvd.nist.gov/vuln/detail/cve-2022-31705

2. As vulnerabilidades permitem que agentes maliciosos executem códigos arbitrários, podendo assumir o controle de um sistema vulnerável, conforme publicação da empresa disponível em:

• https://www.vmware.com/security/advisories/VMSA-2022-0033.html

3. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições, que identifiquem sistemas vulneráveis sob sua responsabilidade e apliquem com urgência as devidas correções, conforme orientações do mantenedor, disponíveis nos links:

• https://kb.vmware.com/s/article/87617
• https://kb.vmware.com/s/article/79712
• https://kb.vmware.com/s/article/87617
• https://kb.vmware.com/s/article/90336

4. Caso a versão do host ESXi seja entre a 7.0 Update 2 e a Update 3c, deverá ser usado o link a seguir para atualização para a versão ESXi 7.0 Update 3i:

• https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u3c-release-notes.html

5. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais que orientem a constituency de seus respectivos setores sobre o tratado nesta Recomendação. Reforça também que a participação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional na Rede Federal de Gestão de Incidentes Cibernéticos é obrigatória. Desta forma, o processo de formalização da adesão deverá ser operacionalizado em linha com tal normativo e com as orientações constantes da página eletrônica do CTIR Gov (https://www.gov.br/ctir/pt-br/assuntos/perguntas-frequentes-decreto-10-748-2021/perguntas-frequentes-sobre-o-decreto-10-748-2021).

6. O CTIR Gov ressalta que, de acordo com os artigos 15 e 17 do Decreto Nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, cada órgão é responsável pela proteção cibernética de seus ativos de informação. Referência: https://www.in.gov.br/materia/-/asset_publisher/Kujrw0TZC2Mb/content/id/56970098/do1-2018-12-27-decreto-n-9-637-de-26-de-dezembro-de-2018-56969938