VMware 修補了多個產(chǎn)品中的關(guān)鍵身份驗證繞過漏洞
2022年05月20日
Bleeping Computer 資訊網(wǎng)站披露���,VMware 多個產(chǎn)品中出現(xiàn)關(guān)鍵身份驗證繞過漏洞�,漏洞允許攻擊者獲取管理員權(quán)限。
據(jù)悉����,該漏洞被追蹤為 CVE-2022-22972����,最早由 Innotec Security 的 Bruno López 發(fā)現(xiàn)并報告�����,惡意攻擊者可以利用該漏洞在不需要身份驗證的情況下����,獲得管理員權(quán)限。
漏洞主要影響了 Workspace ONE Access���、VMware Identity Manager(vIDM)和 vRealize Automation,目前尚不清楚是否在野被利用�。
敦促管理員立即打補丁
漏洞披露不久后�����,VMware 發(fā)布公告表示,鑒于該漏洞的嚴重性,強烈建議用戶應(yīng)立刻采取行動,根據(jù) VMSA-2021-0014 中的指示,迅速修補這一關(guān)鍵漏洞��。
VMware 還修補了另外一個嚴重本地權(quán)限升級安全漏洞(CVE-2022-22973)��,攻擊者可以利用該漏洞在未打補丁的設(shè)備上����,將權(quán)限提升到 "root"����。
受安全漏洞影響的 VMware 產(chǎn)品列表如下:
VMware Workspace ONE Access (Access)
VMware身份管理器(vIDM)
VMware vRealize Automation (vRA)
VMware云計算基礎(chǔ)
vRealize Suite Lifecycle Manager
通常情況下����,VMware 會在大多數(shù)安全公告中加入關(guān)于主動利用的說明,但在新發(fā)布的 VMSA-2022-0014 公告中沒有包括此類信息�����,只在其知識庫網(wǎng)站上提供了補丁下載鏈接和安裝說明����。
其他臨時解決方案
VMware 還為不能立即給設(shè)備打補丁的管理員提供了臨時解決方法。具體步驟是�,要求管理員禁用除管理員以外的所有用戶�,并通過 SSH 登錄����,重新啟動 horizon-workspace 服務(wù)。臨時解決方法雖然方便快捷��,但不能徹底消除漏洞����,而且還可能帶來其他復(fù)雜性的安全威脅。
因此 VMware 不建議應(yīng)用臨時方法��,想要徹底解決 CVE-2022-22972 漏洞�����,唯一方法是應(yīng)用 VMSA-2021-0014 中提供的更新補丁�����。
值得一提的是�,4月份,VMware 還修補了 VMware Workspace ONE Access和VMware Identity Manager 中的一個遠程代碼執(zhí)行漏洞(CVE-2022-22954)。
