网安 - 专业的网络安全产业、社区、知识平台

VMware统一端点管理控制台存高危漏洞

VSole2021-12-18 21:10:42

VMware统一端点管理控制台(Workspace ONE UEM)中存关键服务器端请求伪造(SSRF)漏洞,该漏洞CVSSv3评分9.1/10,VMware官方认定属于高危漏洞。


此漏洞跟踪为CVE-2021-22054,是一个服务器端请求伪造 (SSRF) 漏洞,影响多个ONE UEM控制台版本,VMware已经发布针对性安全补丁。

具有UEM网络访问权限的攻击者可以利用该漏洞访问管理控制台中的敏感数据,攻击者可以通过向易受攻击的软件发送未经身份验证的请求,可以在低复杂度的攻击中远程利用此漏洞,而无需用户交互。

“VMware Workspace ONE UEM控制台包含一个服务器端请求伪造(SSRF)漏洞。VMware已评估此问题的严重性处于“危急”严重性范围内,最高CVSSv3 基本分数为9.1。” VMware发布的分析公告对此描述。“具有UEM网络访问权限的恶意行为者可以在未经身份验证的情况下发送他们的请求,并可能利用此问题来访问敏感信息。”

都能涉敏了那么很快应该会被利用喽?!毕竟没打补丁的会有很多,因此本文目的只为传递给更多用户,督促速度修复漏洞。

以下是受影响的版本列表:

受影响的版本解决版本号2109Workspace ONE UEM 补丁 21.9.0.13 及以上2105Workspace ONE UEM 补丁 21.5.0.37及以上2102Workspace ONE UEM 补丁 21.2.0.27及以上2101Workspace ONE UEM 补丁 21.1.0.27 及以上2011Workspace ONE UEM 补丁 20.11.0.40及以上2010Workspace ONE UEM 补丁 20.10.0.23 及以上2008Workspace ONE UEM 补丁 20.8.0.36及以上2007Workspace ONE UEM 补丁 20.7.0.17 及以上

可用的解决方法

如果您无法立即部署上表中的修补版本之一,VMware还提供短期缓解措施来阻止利用尝试。临时解决方法要求您按照下面的网址概述的步骤编辑UEM web.config文件,并重新启动已应用此解决方法的所有服务器实例。VMware还提供了验证该变通办法能否成功阻止使用CVE-2021-22054漏洞利用的攻击的步骤。

当前不在修补版本上的本地环境的短期缓解措施:

  1. 识别环境中安装了 UEM Console 应用程序的所有 Windows 服务器
  2. 使用远程桌面或物理访问获取对服务器的管理员级别访问权限。
  3.  使用您喜欢的文本编辑器修补Workspace ONE UEM文件。该文件默认位于{Install-Drive}\AirWatch\Default Website文件夹中。注意:可以有多个system.webServer部分。请按照下面的xpath了解需要应用更改的确切位置。添加以下重写规则的rules值:
  4. (xpath: /configuration/system.webServer/rewrite/rules) 


注意:在环境中安装了UEM控制台应用程序的每台Windows服务器上重复此操作。

保存上述更改后重新启动 IIS。使用变通方法修补所有服务器实例后,继续执行“如何验证变通方法”。如果配置文件没有system.webServer部分,以下是完整部分的示例:


如何验证解决方法

当请求具有“url”查询参数时,解决方法是阻止对 BlobHandler.ashx 端点的任何访问。应用变通方法后,任何具有阻止模式的请求都应导致 404 Not Found 响应。要测试解决方法,请打开浏览器并导航到以下网址


https:///airwatch/blobhandler.ashx?url=testhttps:///catalog/blobhandler.ashx?url=testhttps:///airwatch/blobhandler.ashx?param1=test&url=testhttps:///catalog/blobhandler.ashx?param1=test&url=test


响应应显示 :404 Not Found

注意:如果您的服务器配置为根据404响应自动重定向,您可能会看到重定向到控制台登录页面。 

更改的影响与变通方法

  • 应用程序图标不会显示在用于搜索公共应用程序的控制台屏幕上。 
  • IIS 重置将导致登录到正在修补服务器实例的管理员注销。管理员应该能够在不久之后重新登录。
  • 不会对受管设备产生影响


VMware管理员们迅速修补Workspace ONE UEM中此高危漏洞。

我们在此敦促中国VMware管理员们应迅速修补Workspace ONE UEM中此高危漏洞,毕竟威胁参与者可能会滥用该漏洞来访问敏感信息。

目前美国网络安全和基础设施安全局(CISA)发布公告敦促用户积极修复。

公告地址:

https://www.vmware.com/security/advisories/VMSA-2021-0029.html

修复方法:

https://kb.vmware.com/s/article/87167

网络安全控制台
本作品采用《CC 协议》,转载必须注明作者和本文链接
网络安全】网站漏洞挖掘思路
2022-07-23 06:18:57
当我们输入正确的手机号和正确的短信验证码,然后进入重置密码的最后一步,也就是输入新的密码输入密码后提交到服务端的post数据包需要包含当前用户的身份信息。修改响应包重置任意账号密码:通过手机找回密码一般需要短信验证码验证,服务端需要告诉客户端,输入的验证码是否正确。
网络安全网格架构(CSMA)分析
2022-06-15 13:49:59
RSA2022大会以“Transform(转型)”为主题,准确概括了近几年生活、工作、科技等方面的巨大变化。新冠疫情的爆发更深远地影响了人们的生活和办公方式,更多人开始在网上购物,更多企业选择让员工居家远程办公。为满足人们生活、工作方式的改变,企业纷纷开启了数字化转型的征程,例如将更多业务迁移到公有云上,更多采用SaaS化服务等。数字化转型为企业带来了更加先进的生产力,使企业获得了更加可观的盈收。
网络安全资产管理可能暴露的安全漏洞
2022-04-06 13:45:24
网络安全资产管理通过关联来自企业基础设施内各种解决方案的数据来工作,以提供完整且始终保持最新的资产清单。这样,IT和安全团队可以轻松识别安全漏洞,确保资产遵循安全策略,并立即了解资产是否以任何方式偏离了该策略,还可以根据偏差自动执行操作。
塑造网络安全未来的10种安全技术
2023-07-25 15:13:33
ZTNA旨在将零信任的思想应用于实践。此外,MTD还可以设置陷阱,捕捉威胁者的行动,以进一步防范未来的攻击。到2025年至少有60%的企业组织会将SASE模型用于实现用户、分支机构的远程访问,而在2020年,这一比例还不足10%。EPP能有效地应对新兴威胁,包括新的安全漏洞。一些受访的CISO们表示,UES已经成为他们首选的端点安全平台,特别是在企业并购活动中。
Gartner:2023年网络安全八大关键预测
2022-12-12 11:19:04
Gartner建议企业优先考虑将网络安全投资作为风险管理的核心,并将其视为对业务的投资。时隔将近一年,Gartner多位顶级分析师再次分享了他们对2023年的八大网络安全预测。为了在不影响业务速度的情况下有效地做到这一点,企业必须使用DevSecOps技术将安全自动化到应用程序交付过程中。安全团队会发现,基础设施安全与应用程序和数据安全密切相关。
用户网络安全意识培训应该涵盖的12个领域(中)
2022-09-26 07:08:28
移动设备的端点安全是一种网络安全措施,允许组织保护其网络上的所有设备,防止未经授权的访问其系统。它有助于减少攻击面,实时检测和预防威胁,并自动响应安全事件。它使用加密技术防止数据丢失,并使组织能够快速检测恶意软件和其他安全威胁。CASB在保护企业免受云传播的安全威胁、确保数据隐私和法规遵从方面发挥着越来越重要的作用。
Gartner:2023-2026年八大网络安全趋势预测
2022-08-07 13:09:22
但Gartner调研显示,仅有23%的安全和风险领导者对第三方网络安全风险隐患进行实时监控。Gartner认为,安全和风险管理领导者在保障运营环境安全的过程中,应将保护人员与环境免受真实伤害置于比防止信息失窃更重要的位置。Gartner最近的一项调研发现,大多数董事会现在不仅仅将网络安全视为IT技术问题,还将其视为业务风险。
Gartner预测未来4年的重要网络安全趋势
2022-07-18 10:05:26
Gartner近日公布的网络安全重要趋势预测显示:高管绩效评估将越来越多地与网络风险管理能力挂钩;未来三年内,全球近三分之一的国家将通过立法对勒索软件应对措施进行规范;安全平台整合将保障企业机构即便在恶劣环境中也能快速发展。
Gartner发布2022-2023年八大网络安全趋势预测
2022-07-16 07:34:49
在近期召开的Gartner安全与风险管理峰会的开幕主旨演讲中,Gartner高级研究总监Richard Addiscott和执行副总裁Rob McMillan探讨了Gartner网络安全专家提出的重要趋势预测,这些预测可帮助安全和风险领导者在数字时代取得成功。
VSole
网络安全专家