事件回顾
近日,美国国土安全部要求联邦机构在5天内修复两个严重漏洞。那么,究竟是什么样的漏洞让US DHS如惊弓之鸟般兴师动众?
Bleeping Computer 资讯网站披露,VMware 多个产品中出现关键身份验证绕过漏洞,漏洞允许攻击者获取管理员权限。
漏洞一 CVE-2022-22972
CVSS评分:9.8(满分10分)
该漏洞最早由 Innotec Security 的 Bruno López 发现并报告,该漏洞涉及身份验证绕过,可以使具有UI网络访问权限的行为者无需事先身份验证即可获得管理访问权限。恶意攻击者可以利用该漏洞在不需要身份验证的情况下,获得管理员权限。
漏洞二 CVE-2022-22973
CVSS 分数:7.8
该漏洞是一个本地特权提升漏洞,可以使具有本地访问权限的攻击者在易受攻击的虚拟设备上提升到“root”用户的权限。
受安全漏洞影响的 VMware 产品列表如下:
① VMware Workspace ONE Access (Access)
② VMware身份管理器(vIDM)
③ VMware vRealize Automation (vRA)
④ VMware云计算基础
⑤ vRealize Suite Lifecycle Manager
解决方案:
通常情况下,VMware 会在安全公告中加入关于是否遭到利用的说明,但在新发布的 VMSA-2022-0014 公告中没有包括此类信息,只在其知识库网站上提供了补丁下载链接和安装说明,同时为无法立即打补丁的管理员发布了临时应变措施。
为此,天帷信安网络安全研究人员经过对官方补丁进行了多次验证,该补丁可用于修复:
VMware 补丁下载地址及安装指南可参见:
https://kb.vmware.com/s/article/88438
https://kb.vmware.com/s/article/88433
其他临时解决方案:
如确因业务或技术原因无法进行修复:
① 管理员禁用除管理员以外的所有用户,并通过 SSH 登录,重新启动 horizon-workspace 服务;
② 将开放了互联网访问的VMware控制台收回内网,并将内网的VMware控制台限制访问设备(运维终端或堡垒机)。
*临时解决方法虽然方便快捷,但不能彻底消除漏洞,而且还可能带来其他复杂性的安全威胁,因此建议应用 VMSA-2021-0014 中提供的更新补丁。
值得一提的是,2022年4月份,VMware 还发布了 VMware Workspace ONE Access和VMware Identity Manager 中的一个远程代码执行漏洞(CVE-2022-22954)的补丁。即影响 VMware Workspace ONE Access 和 VMware Identity Manager 的远程代码执行漏洞(CVE-2022-22954)和根权限提升漏洞(CVE-2022-229600)。这两个漏洞在补丁发布后的48小时内就被用于部署加密货币挖矿机并安装后门。
事件回顾
近日,美国国土安全部要求联邦机构在5天内修复两个严重漏洞。那么,究竟是什么样的漏洞让US DHS如惊弓之鸟般兴师动众?
Bleeping Computer 资讯网站披露,VMware 多个产品中出现关键身份验证绕过漏洞,漏洞允许攻击者获取管理员权限。
漏洞一 CVE-2022-22972
CVSS评分:9.8(满分10分)
该漏洞最早由 Innotec Security 的 Bruno López 发现并报告,该漏洞涉及身份验证绕过,可以使具有UI网络访问权限的行为者无需事先身份验证即可获得管理访问权限。恶意攻击者可以利用该漏洞在不需要身份验证的情况下,获得管理员权限。
漏洞二 CVE-2022-22973
CVSS 分数:7.8
该漏洞是一个本地特权提升漏洞,可以使具有本地访问权限的攻击者在易受攻击的虚拟设备上提升到“root”用户的权限。
受安全漏洞影响的 VMware 产品列表如下:
① VMware Workspace ONE Access (Access)
② VMware身份管理器(vIDM)
③ VMware vRealize Automation (vRA)
④ VMware云计算基础
⑤ vRealize Suite Lifecycle Manager
解决方案:
通常情况下,VMware 会在安全公告中加入关于是否遭到利用的说明,但在新发布的 VMSA-2022-0014 公告中没有包括此类信息,只在其知识库网站上提供了补丁下载链接和安装说明,同时为无法立即打补丁的管理员发布了临时应变措施。
为此,天帷信安网络安全研究人员经过对官方补丁进行了多次验证,该补丁可用于修复:
VMware 补丁下载地址及安装指南可参见:
https://kb.vmware.com/s/article/88438
https://kb.vmware.com/s/article/88433
其他临时解决方案:
如确因业务或技术原因无法进行修复:
① 管理员禁用除管理员以外的所有用户,并通过 SSH 登录,重新启动 horizon-workspace 服务;
② 将开放了互联网访问的VMware控制台收回内网,并将内网的VMware控制台限制访问设备(运维终端或堡垒机)。
*临时解决方法虽然方便快捷,但不能彻底消除漏洞,而且还可能带来其他复杂性的安全威胁,因此建议应用 VMSA-2021-0014 中提供的更新补丁。
值得一提的是,2022年4月份,VMware 还发布了 VMware Workspace ONE Access和VMware Identity Manager 中的一个远程代码执行漏洞(CVE-2022-22954)的补丁。即影响 VMware Workspace ONE Access 和 VMware Identity Manager 的远程代码执行漏洞(CVE-2022-22954)和根权限提升漏洞(CVE-2022-229600)。这两个漏洞在补丁发布后的48小时内就被用于部署加密货币挖矿机并安装后门。
