VMWare 敦促用戶修補關鍵身份驗證繞過漏洞
漏洞——即將進行概念驗證——是該公司修復的一系列可能導致攻擊鏈的缺陷之一。
VMware 和專家們都在敦促用戶修補受關鍵身份驗證繞過漏洞影響的多個產品,該漏洞可能允許攻擊者獲得對系統的管理訪問權限以及利用其他漏洞。
研究人員在周二發布的更新中針對可能很容易成為漏洞利用鏈的漏洞對各種產品進行了多項修復,該漏洞被跟蹤為CVE-2022-31656 ,在 CVSS 上獲得了 9.8 的評級。說。
CVE-2022-31656 肯定也是這些漏洞中最危險的,并且可能會變得更加危險,因為發現它的研究人員- VNG Security 的Petrus Viet -在推文中承諾,該漏洞的概念驗證漏洞利用是“很快就會出現,”專家說。
研究人員表示,這增加了受該漏洞影響的組織現在需要修補的緊迫性。
Tenable 安全響應團隊的高級研究工程師Claire Tills在給 Threatpost 的電子郵件中說:“鑒于針對 VMware 漏洞的攻擊的普遍性和即將推出的概念驗證,組織需要將修補 CVE-2022-31656 列為優先事項。” . “作為一種繞過身份驗證的方法,利用此漏洞會增加攻擊者創建非常麻煩的漏洞利用鏈的可能性。”
攻擊鏈的潛力
具體來說,CVE-2022-31656 是一種身份驗證繞過漏洞,影響 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation。
根據Tills 周二發表的一篇博客文章,該漏洞會影響本地域用戶,并要求遠程攻擊者必須具有對易受攻擊的用戶界面的網絡訪問權限。她說,一旦攻擊者實現了這一點,他或她就可以利用該漏洞繞過身份驗證并獲得管理訪問權限。
此外,Tills 觀察到,該漏洞是利用 VMWare 本周發布的其他遠程代碼執行 (RCE) 漏洞(CVE-2022-31658和CVE-2022-31659)形成攻擊鏈的途徑。
CVE-2022-31658 是一個影響 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 的 JDBC 注入 RCE 漏洞,該漏洞在 CVSS-8.0 中獲得了“重要”分數。該漏洞允許具有管理員和網絡訪問權限的惡意行為者觸發 RCE。
CVE-2022-31659 是一個影響 VMware Workspace ONE Access 和 Identity Manager 的 SQL 注入 RCE 漏洞,并獲得了 8.0 的評級,其攻擊向量與 CVE-2022-31658 相似。Viet 因發現這兩個缺陷而受到贊譽。
更新中修補的其他六個錯誤包括另一個被評為重要的 RCE 錯誤 (CVE-2022-31665);兩個權限提升漏洞(CVE-2022-31660 和 CVE-2022-31661)被評為重要;一個被評為重要的本地權限提升漏洞 (CVE-2022-31664);一個 URL 注入漏洞 (CVE-2022-31657) 被評為中等;路徑遍歷漏洞 (CVE-2022-31662) 被評為中等。
盡早打補丁,打補丁
VMware 對其產品中發現的嚴重錯誤必須匆忙發布補丁并不陌生,并且由于其平臺在企業網絡中無處不在,它也遭受了安全問題的困擾。
例如,在 6 月下旬,聯邦機構警告攻擊者攻擊VMware Horizo??n 和統一訪問網關 (UAG) 服務器以利用現已臭名昭著的Log4Shell RCE 漏洞,這是去年年底在 Apache 日志庫 Log4J 中發現的一個易于利用的漏洞并從那時起不斷針對VMware 和其他平臺。
事實上,有時即使是打補丁對 VMware 來說仍然不夠,攻擊者會在公司盡職盡責發布修復程序后瞄準現有漏洞。
這種情況發生在 2020 年 12 月,當時聯邦調查局警告對手在供應商修補漏洞三天后積極利用 Workspace One Access 和 Identity Manager 產品中存在數周的漏洞。
一位安全專家指出,盡管所有跡象都表明修補 VMware 平臺的最新威脅的緊迫性,但很有可能即使聽取了建議,但在可預見的未來,這種危險仍將持續存在。
Sevco Security 的聯合創始人 Greg Fitzgerald 在給 Threatpost 的電子郵件中指出,雖然企業最初往往會迅速采取行動來修補其網絡中最迫在眉睫的威脅,但他們往往會錯過攻擊者可以利用漏洞的其他地方。他說,這就是導致持續和持續攻擊的原因。
“對企業來說,最大的風險不是他們應用關鍵補丁的速度;而是他們應用關鍵補丁的速度。它來自于沒有在每個資產上應用補丁,”菲茨杰拉德說。“一個簡單的事實是,大多數組織無法維護最新且準確的 IT 資產清單,而最挑剔的補丁管理方法無法確保所有企業資產都得到考慮。”
