社区编辑申请
注册/登录
VMware 修补了多个产品中的关键身份验证绕过漏洞
安全 应用安全
VMware 多个产品中出现关键身份验证绕过漏洞,漏洞允许攻击者获取管理员权限。据悉,该漏洞被追踪为 CVE-2022-22972,最早由 Innotec Security 的 Bruno López 发现并报告,恶意攻击者可以利用该漏洞在不需要身份验证的情况下,获得管理员权限。

Bleeping Computer 资讯网站披露,VMware 多个产品中出现关键身份验证绕过漏洞,漏洞允许攻击者获取管理员权限。

据悉,该漏洞被追踪为 CVE-2022-22972,最早由 Innotec Security 的 Bruno López 发现并报告,恶意攻击者可以利用该漏洞在不需要身份验证的情况下,获得管理员权限。

漏洞主要影响了 Workspace ONE Access、VMware Identity Manager(vIDM)和 vRealize Automation,目前尚不清楚是否在野被利用。

敦促管理员立即打补丁

漏洞披露不久后,VMware 发布公告表示,鉴于该漏洞的严重性,强烈建议用户应立刻采取行动,根据 VMSA-2021-0014 中的指示,迅速修补这一关键漏洞。

VMware 还修补了另外一个严重本地权限升级安全漏洞(CVE-2022-22973),攻击者可以利用该漏洞在未打补丁的设备上,将权限提升到 "root"。

受安全漏洞影响的 VMware 产品列表如下:

  • VMware Workspace ONE Access (Access)
  • VMware身份管理器(vIDM)
  • VMware vRealize Automation (vRA)
  • VMware云计算基础
  • vRealize Suite Lifecycle Manager

通常情况下,VMware 会在大多数安全公告中加入关于主动利用的说明,但在新发布的 VMSA-2022-0014 公告中没有包括此类信息,只在其知识库网站上提供了补丁下载链接和安装说明。

其他临时解决方案

VMware 还为不能立即给设备打补丁的管理员提供了临时解决方法。具体步骤是,要求管理员禁用除管理员以外的所有用户,并通过 SSH 登录,重新启动 horizon-workspace 服务。临时解决方法虽然方便快捷,但不能彻底消除漏洞,而且还可能带来其他复杂性的安全威胁。

因此 VMware 不建议应用临时方法,想要彻底解决 CVE-2022-22972 漏洞,唯一方法是应用 VMSA-2021-0014 中提供的更新补丁。

值得一提的是,4月份,VMware 还修补了 VMware Workspace ONE Access和VMware Identity Manager 中的一个远程代码执行漏洞(CVE-2022-22954)。

责任编辑:未丽燕 来源: FreeBuf.com
相关推荐

2022-06-12 06:48:34

2022-04-07 18:51:29

VMware漏洞网络攻击

2022-06-15 08:21:49

Linux运维工程师

2022-06-16 17:02:49

微软智能云混合云Azure

2022-06-20 13:34:46

漏洞网络攻击

2022-06-15 09:01:41

2022-06-20 14:57:50

漏洞安全威胁

2022-06-09 18:04:46

网络攻击网络安全

2022-04-21 10:01:48

VMware

2022-06-24 11:34:38

云计算应用安全

2022-04-02 19:18:12

漏洞黑客

2022-06-06 06:10:00

密码验证安全

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-17 11:24:52

2022-06-20 22:37:25

Linux操作系统命令

2022-06-23 14:03:26

混合ITCIOIT管理工具

2022-05-26 11:06:33

加密勒索软件网络攻击

2022-06-16 07:32:38

VSCodePython插件

2022-05-27 12:51:46

漏洞VMware攻击者

2022-06-09 09:27:16

前端行业生存

同话题下的热门内容

无线网络安全的12个优秀实践如何保证应用程序的安全性无密码身份验证需要知道什么?恢复和弹性:首席信息安全官对2022年网络安全形势的洞察勒索软件团伙声称对非洲最大的零售连锁店Shoprite发动攻击Gartner公布了2022-23年八大网络安全预测数字化时代,企业须做好用户信息安全

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号