VMware补丁多个工作区中的漏洞,身份和Lifecycle Manager和vRealize (vmsa - 2022 - 0011)
![](http://www.yyueer.com/sites/default/files/images/articles/Blog-Research-CEA-Medium-Max-Quality_13.jpg)
VMware提醒组织修补或缓解一些严重的漏洞在多个产品。
8月11日更新:更新了概念证明部分和获得更多的信息部分细节和PoC发布后代码从研究员史蒂芬·斯利认为,这些漏洞的发现。
4月18日更新:更新解决方案部分请注意,VMware咨询现在表明cve - 2022 - 22960已经在野外利用。
背景
4月6日,VMware发表一个顾问(vmsa - 2022 - 0011)解决八个漏洞的VMware产品:
CVE | 描述 | CVSSv3 |
---|---|---|
cve - 2022 - 22954 | 服务器端模板注入远程代码执行漏洞 | 9.8 |
cve - 2022 - 22955 | OAuth2 ACS认证绕过漏洞 | 9.8 |
cve - 2022 - 22956 | OAuth2 ACS认证绕过漏洞 | 9.8 |
cve - 2022 - 22957 | JDBC注入远程代码执行漏洞 | 9.1 |
cve - 2022 - 22958 | JDBC注入远程代码执行漏洞 | 9.1 |
cve - 2022 - 22959 | 跨站请求伪造脆弱性 | 8.8 |
cve - 2022 - 22960 | 当地的特权升级漏洞 | 7.8 |
cve - 2022 - 22961 | 信息披露漏洞 | 5.3 |
受影响的产品包括:
- VMware工作区一个访问(访问)
- VMware Identity Manager (vIDM)
- VMware vRealize自动化(vRA)
- VMware云基础
- vRealize套件Lifecycle Manager
所有八个漏洞是VMware的披露史蒂文·斯利,奇虎360安全研究员漏洞研究所。
分析
cve - 2022 - 22954是一个服务器端模板注入漏洞在VMware工作区中访问和身份管理器之一。这个漏洞被分配一个CVSSv3得分为9.8。未经过身份验证的与网络访问攻击者可以利用此漏洞通过发送一个特殊的请求一个脆弱的VMware工作区或Identity Manager。成功开发可能导致远程代码执行利用服务器端模板注入缺陷。
cve - 2022 - 22955和cve - 2022 - 22956是一对的认证绕过漏洞在OAuth 2.0访问控制服务(ACS)框架内VMware工作区。这两个漏洞被分配CVSSv3得分为9.8。未经过身份验证的攻击者可能特别制作的请求发送到脆弱和暴露OAuth2.0端点在VMware工作区为了成功进行身份验证的工作空间一个实例。
这三个漏洞是唯一修补这个咨询开发之前不需要身份验证。其余5,因此,已分配CVSSv3的得分越低。
俄罗斯国家资助的演员有针对性的VMware工作区一个过去
2020年12月,美国国家安全局透露,俄罗斯政府威胁演员利用cve - 2020 - 4006在管理配置器组件,一个命令注入漏洞的VMware产品包括工作空间访问,Identity Manager,云基础和vRealize套件Lifecycle Manager。
虽然vmsa - 2022 - 0011的漏洞解决协调披露的一部分,攻击者做常规目标遗留漏洞。
概念验证
在这篇文章发表的时候,没有概念验证(PoC)利用共享的任何漏洞。更新4/13:现在几个poc cve - 2022 - 22954可在GitHub。更新:8/11赫卡特连锁PoC的几个漏洞后被释放在美国黑帽。
解决方案
VMware发布的补丁漏洞的受影响的产品如下:
产品/组件 | 影响版本 |
---|---|
VMware工作区访问设备 | 21.08.0.1,21.08.0.0,20.10.0.1,20.10.0.0 |
VMware Identity Manager设备 | 3.3.3,3.3.4,3.3.5,3.3.6 |
VMware vRealize自动化 | 7.6 |
VMware敦促组织立即采取行动
作为的一部分FAQ文档vmsa - 2022 - 0011VMware强调,这些漏洞“应立即修补或者减轻”和“后果”是“严重。“如果修补这些缺陷并不可行,VMware也共享解决方案说明作为临时解决方案,但州修补完全是消除这些缺陷的唯一方法
4月13日,VMware更新常见问题解答确认在野外利用发现cve - 2022 - 22954。
4月18日,vmsa - 2022 - 0011咨询已经更新,以反映cve - 2022 - 22960已经利用在野外。然而,在这一次的改变只出现在笔记中部分CVE描述。VMware还没有更新的FAQ页面伴随这咨询。
确定影响系统
一个站得住脚的列表插件来识别这些漏洞将会出现在这里当他们被释放。
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。
更改日志
4月13日更新:更新解决方案和概念验证部分确认的几个概念证明cve - 2022 - 22954以及确认从VMware cve - 2022 - 22954已经利用在野外。
8月11日更新:更新了概念证明部分和获得更多的信息部分细节和PoC发布后代码从研究员史蒂芬·斯利认为,这些漏洞的发现。