VMware 修補了關鍵的“讓我成為管理員”身份驗證繞過錯誤,以及其他九個缺陷
VMware 修復了一個嚴重的身份驗證繞過漏洞,該漏洞在 CVSS 嚴重性等級中達到 9.8 分(滿分 10 分),并且存在于多個產品中。
該漏洞被跟蹤為 CVE-2022-31656,并影響 VMware 的 Workspace ONE Access、Identity Manager 和 vRealize Automation。它與周二發布的這批補丁中的其他九個安全漏洞一起得到解決。
根據 VMware 的說法,這是 '31656 錯誤的底線:“對 UI 具有網絡訪問權限的惡意行為者可能無需進行身份驗證即可獲得管理訪問權限。” 獲得對遠程系統的管理員級別控制的好方法。
該嚴重漏洞與早期的嚴重身份驗證繞過漏洞 (CVE-2022-22972) 類似,甚至可能是其變體或補丁繞過,該漏洞的嚴重性等級為 9.8,VMware 早在 5 月就已修復。發布該更新后不久,CISA 要求美國政府機構在無法應用補丁的情況下關閉受影響的 VMware 產品。
雖然這家虛擬化巨頭不知道任何新漏洞的野外利用(至少到目前為止),“在本地部署中迅速采取措施修補或緩解這些問題非常重要,” VMware在一份公告中發出警告。“如果您的組織使用 ITIL 方法進行變更管理,這將被視為‘緊急’變更。”
除了軟件巨頭和第三方安全研究人員敦促組織立即修補外,發現并報告該漏洞的漏洞獵人 Petrus Viet 表示,他將很快發布該漏洞的概念驗證漏洞利用程序。所以要非常清楚:停止你正在做的事情并立即評估并在必要時修補這個漏洞,然后不法分子發現并利用它,他們習慣于使用 VMware vulns。
Tenable 公司安全響應團隊的高級研究工程師 Claire Tills 指出,CVE-2022-31656 尤其令人擔憂,因為不法分子可能會利用它來利用 VMware 在本周安全推送中披露的其他漏洞。
“重要的是要注意,通過 CVE-2022-31656 實現的身份驗證繞過將允許攻擊者利用此版本中解決的經過身份驗證的遠程代碼執行漏洞,”她寫道。
她指的是兩個遠程代碼執行 (RCE) 漏洞,CVE-2022-31658 和 CVE-2022-31659,這兩個漏洞也是由 Petrus Viet 發現的,這將允許具有管理員級別網絡訪問權限的攻擊者在受害者的計算機上遠程部署惡意代碼。因此,有人可以使用 '31656 以管理權限登錄,然后利用其他錯誤來 pwn 設備。
這兩個,'31658 和 '31659,被 VMware 稱為“重要”,并以 8.0 的 CVSS 得分排名。與可與這兩個 RCE 一起使用的關鍵漏洞類似,它們都會影響 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 產品。
在其他補丁新聞中, rsync項目發布了修復漏洞的更新,該漏洞被跟蹤為 CVE-2022-29154,該漏洞可能允許不法分子在連接對等方的目錄中寫入任意文件。
rsync 是一種用于在遠程和本地機器之間傳輸和同步文件的工具,利用此漏洞可以允許“惡意 rysnc 服務器(或中間人攻擊者)[to] 覆蓋 rsync 客戶端目標目錄中的任意文件,并子目錄,”根據發現該漏洞的研究人員 Ege Balci 和 Taha Hamad 的說法。
這意味著惡意服務器或 MITM 可能會覆蓋受害者的ssh/authorized_keys文件。
雖然這三個 VMware 漏洞應該得到最高的修補優先級,但其中還有一些其他令人討厭的錯誤。這包括 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的三個本地權限提升漏洞(CVE-2022-31660、CVE-2022-31661 和 CVE-2022-31664)。
這三個人都獲得了 7.8 的 CVSS 分數,并且成功的攻擊將允許具有本地訪問權限的犯罪分子將權限升級到 root — 并且從那里,幾乎可以為所欲為,例如竊取信息、安裝后門、注入木馬或關閉系統完全。
Rapid7 安全研究員 Spencer McIntyre 向 VMware 報告了這兩個漏洞中的兩個(CVE-2022-31660 和 CVE-2022-31661),而奇虎 360 漏洞研究所的 Steven Seeley 發現了 CVE-2022-31664。
此外,VMware 在 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中披露了另一個 RCE 漏洞。這個被跟蹤為 CVE-2022-31665 的 CVSS 得分為 7.6,它需要管理員訪問權限才能觸發遠程代碼執行。
