VMware 修补了关键的“让我成为管理员”身份验证绕过错误,以及其他九个缺陷
VMware 修复了一个严重的身份验证绕过漏洞,该漏洞在 CVSS 严重性等级中达到 9.8 分(满分 10 分),并且存在于多个产品中。
该漏洞被跟踪为 CVE-2022-31656,并影响 VMware 的 Workspace ONE Access、Identity Manager 和 vRealize Automation。它与周二发布的这批补丁中的其他九个安全漏洞一起得到解决。
根据 VMware 的说法,这是 '31656 错误的底线:“对 UI 具有网络访问权限的恶意行为者可能无需进行身份验证即可获得管理访问权限。” 获得对远程系统的管理员级别控制的好方法。
该严重漏洞与早期的严重身份验证绕过漏洞 (CVE-2022-22972) 类似,甚至可能是其变体或补丁绕过,该漏洞的严重性等级为 9.8,VMware 早在 5 月就已修复。发布该更新后不久,CISA 要求美国政府机构在无法应用补丁的情况下关闭受影响的 VMware 产品。
虽然这家虚拟化巨头不知道任何新漏洞的野外利用(至少到目前为止),“在本地部署中迅速采取措施修补或缓解这些问题非常重要,” VMware在一份公告中发出警告。“如果您的组织使用 ITIL 方法进行变更管理,这将被视为‘紧急’变更。”
除了软件巨头和第三方安全研究人员敦促组织立即修补外,发现并报告该漏洞的漏洞猎人 Petrus Viet 表示,他将很快发布该漏洞的概念验证漏洞利用程序。所以要非常清楚:停止你正在做的事情并立即评估并在必要时修补这个漏洞,然后不法分子发现并利用它,他们习惯于使用 VMware vulns。
Tenable 公司安全响应团队的高级研究工程师 Claire Tills 指出,CVE-2022-31656 尤其令人担忧,因为不法分子可能会利用它来利用 VMware 在本周安全推送中披露的其他漏洞。
“重要的是要注意,通过 CVE-2022-31656 实现的身份验证绕过将允许攻击者利用此版本中解决的经过身份验证的远程代码执行漏洞,”她写道。
她指的是两个远程代码执行 (RCE) 漏洞,CVE-2022-31658 和 CVE-2022-31659,这两个漏洞也是由 Petrus Viet 发现的,这将允许具有管理员级别网络访问权限的攻击者在受害者的计算机上远程部署恶意代码。因此,有人可以使用 '31656 以管理权限登录,然后利用其他错误来 pwn 设备。
这两个,'31658 和 '31659,被 VMware 称为“重要”,并以 8.0 的 CVSS 得分排名。与可与这两个 RCE 一起使用的关键漏洞类似,它们都会影响 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 产品。
在其他补丁新闻中, rsync项目发布了修复漏洞的更新,该漏洞被跟踪为 CVE-2022-29154,该漏洞可能允许不法分子在连接对等方的目录中写入任意文件。
rsync 是一种用于在远程和本地机器之间传输和同步文件的工具,利用此漏洞可以允许“恶意 rysnc 服务器(或中间人攻击者)[to] 覆盖 rsync 客户端目标目录中的任意文件,并子目录,”根据发现该漏洞的研究人员 Ege Balci 和 Taha Hamad 的说法。
这意味着恶意服务器或 MITM 可能会覆盖受害者的ssh/authorized_keys文件。
虽然这三个 VMware 漏洞应该得到最高的修补优先级,但其中还有一些其他令人讨厌的错误。这包括 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的三个本地权限提升漏洞(CVE-2022-31660、CVE-2022-31661 和 CVE-2022-31664)。
这三个人都获得了 7.8 的 CVSS 分数,并且成功的攻击将允许具有本地访问权限的犯罪分子将权限升级到 root — 并且从那里,几乎可以为所欲为,例如窃取信息、安装后门、注入木马或关闭系统完全。
Rapid7 安全研究员 Spencer McIntyre 向 VMware 报告了这两个漏洞中的两个(CVE-2022-31660 和 CVE-2022-31661),而奇虎 360 漏洞研究所的 Steven Seeley 发现了 CVE-2022-31664。
此外,VMware 在 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中披露了另一个 RCE 漏洞。这个被跟踪为 CVE-2022-31665 的 CVSS 得分为 7.6,它需要管理员访问权限才能触发远程代码执行。
