VMware 修補了多個產(chǎn)品中的關鍵身份驗證繞過漏洞
2022年05月20日
Bleeping Computer 資訊網(wǎng)站披露�����,VMware 多個產(chǎn)品中出現(xiàn)關鍵身份驗證繞過漏洞����,漏洞允許攻擊者獲取管理員權限。
據(jù)悉���,該漏洞被追蹤為 CVE-2022-22972�����,最早由 Innotec Security 的 Bruno López 發(fā)現(xiàn)并報告��,惡意攻擊者可以利用該漏洞在不需要身份驗證的情況下�����,獲得管理員權限�����。
漏洞主要影響了 Workspace ONE Access��、VMware Identity Manager(vIDM)和 vRealize Automation�,目前尚不清楚是否在野被利用。
敦促管理員立即打補丁
漏洞披露不久后����,VMware 發(fā)布公告表示,鑒于該漏洞的嚴重性�,強烈建議用戶應立刻采取行動,根據(jù) VMSA-2021-0014 中的指示�,迅速修補這一關鍵漏洞。
VMware 還修補了另外一個嚴重本地權限升級安全漏洞(CVE-2022-22973)���,攻擊者可以利用該漏洞在未打補丁的設備上����,將權限提升到 "root"。
受安全漏洞影響的 VMware 產(chǎn)品列表如下:
VMware Workspace ONE Access (Access)
VMware身份管理器(vIDM)
VMware vRealize Automation (vRA)
VMware云計算基礎
vRealize Suite Lifecycle Manager
通常情況下�,VMware 會在大多數(shù)安全公告中加入關于主動利用的說明,但在新發(fā)布的 VMSA-2022-0014 公告中沒有包括此類信息�,只在其知識庫網(wǎng)站上提供了補丁下載鏈接和安裝說明�����。
其他臨時解決方案
VMware 還為不能立即給設備打補丁的管理員提供了臨時解決方法�����。具體步驟是�,要求管理員禁用除管理員以外的所有用戶,并通過 SSH 登錄��,重新啟動 horizon-workspace 服務����。臨時解決方法雖然方便快捷,但不能徹底消除漏洞���,而且還可能帶來其他復雜性的安全威脅�。
因此 VMware 不建議應用臨時方法,想要徹底解決 CVE-2022-22972 漏洞��,唯一方法是應用 VMSA-2021-0014 中提供的更新補丁���。
值得一提的是���,4月份,VMware 還修補了 VMware Workspace ONE Access和VMware Identity Manager 中的一個遠程代碼執(zhí)行漏洞(CVE-2022-22954)��。
