VMware 修補了多個產品中的關鍵身份驗證繞過漏洞
2022年05月20日
Bleeping Computer 資訊網站披露����,VMware 多個產品中出現關鍵身份驗證繞過漏洞����,漏洞允許攻擊者獲取管理員權限�。
據悉,該漏洞被追蹤為 CVE-2022-22972,最早由 Innotec Security 的 Bruno López 發現并報告���,惡意攻擊者可以利用該漏洞在不需要身份驗證的情況下,獲得管理員權限。
漏洞主要影響了 Workspace ONE Access�、VMware Identity Manager(vIDM)和 vRealize Automation�����,目前尚不清楚是否在野被利用。
敦促管理員立即打補丁
漏洞披露不久后�,VMware 發布公告表示���,鑒于該漏洞的嚴重性�,強烈建議用戶應立刻采取行動����,根據 VMSA-2021-0014 中的指示����,迅速修補這一關鍵漏洞。
VMware 還修補了另外一個嚴重本地權限升級安全漏洞(CVE-2022-22973)�,攻擊者可以利用該漏洞在未打補丁的設備上��,將權限提升到 "root"。
受安全漏洞影響的 VMware 產品列表如下:
VMware Workspace ONE Access (Access)
VMware身份管理器(vIDM)
VMware vRealize Automation (vRA)
VMware云計算基礎
vRealize Suite Lifecycle Manager
通常情況下���,VMware 會在大多數安全公告中加入關于主動利用的說明,但在新發布的 VMSA-2022-0014 公告中沒有包括此類信息�,只在其知識庫網站上提供了補丁下載鏈接和安裝說明�����。
其他臨時解決方案
VMware 還為不能立即給設備打補丁的管理員提供了臨時解決方法。具體步驟是��,要求管理員禁用除管理員以外的所有用戶���,并通過 SSH 登錄����,重新啟動 horizon-workspace 服務。臨時解決方法雖然方便快捷��,但不能徹底消除漏洞�,而且還可能帶來其他復雜性的安全威脅。
因此 VMware 不建議應用臨時方法��,想要徹底解決 CVE-2022-22972 漏洞�,唯一方法是應用 VMSA-2021-0014 中提供的更新補丁。
值得一提的是�����,4月份�,VMware 還修補了 VMware Workspace ONE Access和VMware Identity Manager 中的一個遠程代碼執行漏洞(CVE-2022-22954)���。
