打补丁or关设备!你的选择是?
更新时间:2022-05-23
浏览量:61

事件回顾

近日,美国国土安全部要求联邦机构在5天内修复两个严重漏洞。那么,究竟是什么样的漏洞让US DHS如惊弓之鸟般兴师动众?


Bleeping Computer 资讯网站披露,VMware 多个产品中出现关键身份验证绕过漏洞,漏洞允许攻击者获取管理员权限。

漏洞一 CVE-2022-22972

CVSS评分:9.8(满分10分)

该漏洞最早由 Innotec Security Bruno López 发现并报告,该漏洞涉及身份验证绕过,可以使具有UI网络访问权限的行为者无需事先身份验证即可获得管理访问权限。恶意攻击者可以利用该漏洞在不需要身份验证的情况下,获得管理员权限。

漏洞二 CVE-2022-22973

CVSS 分数:7.8

该漏洞是一个本地特权提升漏洞,可以使具有本地访问权限的攻击者在易受攻击的虚拟设备上提升到“root”用户的权限。

受安全漏洞影响的 VMware 产品列表如下:

① VMware Workspace ONE Access (Access)

② VMware身份管理器(vIDM)

③ VMware vRealize Automation (vRA)

④ VMware云计算基础

⑤ vRealize Suite Lifecycle Manager

解决方案:

通常情况下,VMware 会在安全公告中加入关于是否遭到利用的说明,但在新发布的 VMSA-2022-0014 公告中没有包括此类信息,只在其知识库网站上提供了补丁下载链接和安装说明,同时为无法立即打补丁的管理员发布了临时应变措施。

为此,天帷信安网络安全研究人员经过对官方补丁进行了多次验证,该补丁可用于修复:

VMware 补丁下载地址及安装指南可参见:

https://kb.vmware.com/s/article/88438

https://kb.vmware.com/s/article/88433

其他临时解决方案:

如确因业务或技术原因无法进行修复:

管理员禁用除管理员以外的所有用户,并通过 SSH 登录,重新启动 horizon-workspace 服务;

将开放了互联网访问的VMware控制台收回内网,并将内网的VMware控制台限制访问设备(运维终端或堡垒机)。

*临时解决方法虽然方便快捷,但不能彻底消除漏洞,而且还可能带来其他复杂性的安全威胁,因此建议应用 VMSA-2021-0014 中提供的更新补丁。

值得一提的是,20224月份,VMware 还发布了 VMware Workspace ONE AccessVMware Identity Manager 中的一个远程代码执行漏洞(CVE-2022-22954)的补丁。即影响 VMware Workspace ONE Access VMware Identity Manager 的远程代码执行漏洞(CVE-2022-22954)和根权限提升漏洞(CVE-2022-229600)。这两个漏洞在补丁发布后的48小时内就被用于部署加密货币挖矿机并安装后门。


事件回顾

近日,美国国土安全部要求联邦机构在5天内修复两个严重漏洞。那么,究竟是什么样的漏洞让US DHS如惊弓之鸟般兴师动众?


Bleeping Computer 资讯网站披露,VMware 多个产品中出现关键身份验证绕过漏洞,漏洞允许攻击者获取管理员权限。

漏洞一 CVE-2022-22972

CVSS评分:9.8(满分10分)

该漏洞最早由 Innotec Security Bruno López 发现并报告,该漏洞涉及身份验证绕过,可以使具有UI网络访问权限的行为者无需事先身份验证即可获得管理访问权限。恶意攻击者可以利用该漏洞在不需要身份验证的情况下,获得管理员权限。

漏洞二 CVE-2022-22973

CVSS 分数:7.8

该漏洞是一个本地特权提升漏洞,可以使具有本地访问权限的攻击者在易受攻击的虚拟设备上提升到“root”用户的权限。

受安全漏洞影响的 VMware 产品列表如下:

① VMware Workspace ONE Access (Access)

② VMware身份管理器(vIDM)

③ VMware vRealize Automation (vRA)

④ VMware云计算基础

⑤ vRealize Suite Lifecycle Manager

解决方案:

通常情况下,VMware 会在安全公告中加入关于是否遭到利用的说明,但在新发布的 VMSA-2022-0014 公告中没有包括此类信息,只在其知识库网站上提供了补丁下载链接和安装说明,同时为无法立即打补丁的管理员发布了临时应变措施。

为此,天帷信安网络安全研究人员经过对官方补丁进行了多次验证,该补丁可用于修复:

VMware 补丁下载地址及安装指南可参见:

https://kb.vmware.com/s/article/88438

https://kb.vmware.com/s/article/88433

其他临时解决方案:

如确因业务或技术原因无法进行修复:

管理员禁用除管理员以外的所有用户,并通过 SSH 登录,重新启动 horizon-workspace 服务;

将开放了互联网访问的VMware控制台收回内网,并将内网的VMware控制台限制访问设备(运维终端或堡垒机)。

*临时解决方法虽然方便快捷,但不能彻底消除漏洞,而且还可能带来其他复杂性的安全威胁,因此建议应用 VMSA-2021-0014 中提供的更新补丁。

值得一提的是,20224月份,VMware 还发布了 VMware Workspace ONE AccessVMware Identity Manager 中的一个远程代码执行漏洞(CVE-2022-22954)的补丁。即影响 VMware Workspace ONE Access VMware Identity Manager 的远程代码执行漏洞(CVE-2022-22954)和根权限提升漏洞(CVE-2022-229600)。这两个漏洞在补丁发布后的48小时内就被用于部署加密货币挖矿机并安装后门。