VMware統一端點管理控制臺存高危漏洞

VSole2021-12-18 21:10:42

VMware統一端點管理控制臺(Workspace ONE UEM)中存關鍵服務器端請求偽造(SSRF)漏洞，該漏洞CVSSv3評分9.1/10，VMware官方認定屬于高危漏洞。

此漏洞跟蹤為CVE-2021-22054，是一個服務器端請求偽造 (SSRF) 漏洞，影響多個ONE UEM控制臺版本，VMware已經發布針對性安全補丁。

具有UEM網絡訪問權限的攻擊者可以利用該漏洞訪問管理控制臺中的敏感數據，攻擊者可以通過向易受攻擊的軟件發送未經身份驗證的請求，可以在低復雜度的攻擊中遠程利用此漏洞，而無需用戶交互。

“VMware Workspace ONE UEM控制臺包含一個服務器端請求偽造(SSRF)漏洞。VMware已評估此問題的嚴重性處于“危急”嚴重性范圍內，最高CVSSv3 基本分數為9.1。” VMware發布的分析公告對此描述。“具有UEM網絡訪問權限的惡意行為者可以在未經身份驗證的情況下發送他們的請求，并可能利用此問題來訪問敏感信息。”

都能涉敏了那么很快應該會被利用嘍?!畢竟沒打補丁的會有很多，因此本文目的只為傳遞給更多用戶，督促速度修復漏洞。

以下是受影響的版本列表：

受影響的版本解決版本號2109Workspace ONE UEM 補丁 21.9.0.13 及以上2105Workspace ONE UEM 補丁 21.5.0.37及以上2102Workspace ONE UEM 補丁 21.2.0.27及以上2101Workspace ONE UEM 補丁 21.1.0.27 及以上2011Workspace ONE UEM 補丁 20.11.0.40及以上2010Workspace ONE UEM 補丁 20.10.0.23 及以上2008Workspace ONE UEM 補丁 20.8.0.36及以上2007Workspace ONE UEM 補丁 20.7.0.17 及以上

可用的解決方法

如果您無法立即部署上表中的修補版本之一，VMware還提供短期緩解措施來阻止利用嘗試。臨時解決方法要求您按照下面的網址概述的步驟編輯UEM web.config文件，并重新啟動已應用此解決方法的所有服務器實例。VMware還提供了驗證該變通辦法能否成功阻止使用CVE-2021-22054漏洞利用的攻擊的步驟。

當前不在修補版本上的本地環境的短期緩解措施：

識別環境中安裝了 UEM Console 應用程序的所有 Windows 服務器
使用遠程桌面或物理訪問獲取對服務器的管理員級別訪問權限。
使用您喜歡的文本編輯器修補Workspace ONE UEM文件。該文件默認位于{Install-Drive}\AirWatch\Default Website文件夾中。注意：可以有多個system.webServer部分。請按照下面的xpath了解需要應用更改的確切位置。添加以下重寫規則的rules值：
(xpath: /configuration/system.webServer/rewrite/rules)

注意：在環境中安裝了UEM控制臺應用程序的每臺Windows服務器上重復此操作。

保存上述更改后重新啟動 IIS。使用變通方法修補所有服務器實例后，繼續執行“如何驗證變通方法”。如果配置文件沒有system.webServer部分，以下是完整部分的示例：

如何驗證解決方法

當請求具有“url”查詢參數時，解決方法是阻止對 BlobHandler.ashx 端點的任何訪問。應用變通方法后，任何具有阻止模式的請求都應導致 404 Not Found 響應。要測試解決方法，請打開瀏覽器并導航到以下網址

https:///airwatch/blobhandler.ashx?url=testhttps:///catalog/blobhandler.ashx?url=testhttps:///airwatch/blobhandler.ashx?param1=test&url=testhttps:///catalog/blobhandler.ashx?param1=test&url=test

響應應顯示：404 Not Found

注意：如果您的服務器配置為根據404響應自動重定向，您可能會看到重定向到控制臺登錄頁面。

更改的影響與變通方法

應用程序圖標不會顯示在用于搜索公共應用程序的控制臺屏幕上。
IIS 重置將導致登錄到正在修補服務器實例的管理員注銷。管理員應該能夠在不久之后重新登錄。
不會對受管設備產生影響

VMware管理員們迅速修補Workspace ONE UEM中此高危漏洞。

我們在此敦促中國VMware管理員們應迅速修補Workspace ONE UEM中此高危漏洞，畢竟威脅參與者可能會濫用該漏洞來訪問敏感信息。

目前美國網絡安全和基礎設施安全局(CISA)發布公告敦促用戶積極修復。

公告地址：

https://www.vmware.com/security/advisories/VMSA-2021-0029.html

修復方法：

https://kb.vmware.com/s/article/87167

網絡安全控制臺

撤稿糾錯

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接