VMWare 敦促用户修补关键身份验证绕过漏洞
漏洞——即将进行概念验证——是该公司修复的一系列可能导致攻击链的缺陷之一。
VMware 和专家们都在敦促用户修补受关键身份验证绕过漏洞影响的多个产品,该漏洞可能允许攻击者获得对系统的管理访问权限以及利用其他漏洞。
研究人员在周二发布的更新中针对可能很容易成为漏洞利用链的漏洞对各种产品进行了多项修复,该漏洞被跟踪为CVE-2022-31656 ,在 CVSS 上获得了 9.8 的评级。说。
CVE-2022-31656 肯定也是这些漏洞中最危险的,并且可能会变得更加危险,因为发现它的研究人员- VNG Security 的Petrus Viet -在推文中承诺,该漏洞的概念验证漏洞利用是“很快就会出现,”专家说。
研究人员表示,这增加了受该漏洞影响的组织现在需要修补的紧迫性。
Tenable 安全响应团队的高级研究工程师Claire Tills在给 Threatpost 的电子邮件中说:“鉴于针对 VMware 漏洞的攻击的普遍性和即将推出的概念验证,组织需要将修补 CVE-2022-31656 列为优先事项。” . “作为一种绕过身份验证的方法,利用此漏洞会增加攻击者创建非常麻烦的漏洞利用链的可能性。”
攻击链的潜力
具体来说,CVE-2022-31656 是一种身份验证绕过漏洞,影响 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation。
根据Tills 周二发表的一篇博客文章,该漏洞会影响本地域用户,并要求远程攻击者必须具有对易受攻击的用户界面的网络访问权限。她说,一旦攻击者实现了这一点,他或她就可以利用该漏洞绕过身份验证并获得管理访问权限。
此外,Tills 观察到,该漏洞是利用 VMWare 本周发布的其他远程代码执行 (RCE) 漏洞(CVE-2022-31658和CVE-2022-31659)形成攻击链的途径。
CVE-2022-31658 是一个影响 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 的 JDBC 注入 RCE 漏洞,该漏洞在 CVSS-8.0 中获得了“重要”分数。该漏洞允许具有管理员和网络访问权限的恶意行为者触发 RCE。
CVE-2022-31659 是一个影响 VMware Workspace ONE Access 和 Identity Manager 的 SQL 注入 RCE 漏洞,并获得了 8.0 的评级,其攻击向量与 CVE-2022-31658 相似。Viet 因发现这两个缺陷而受到赞誉。
更新中修补的其他六个错误包括另一个被评为重要的 RCE 错误 (CVE-2022-31665);两个权限提升漏洞(CVE-2022-31660 和 CVE-2022-31661)被评为重要;一个被评为重要的本地权限提升漏洞 (CVE-2022-31664);一个 URL 注入漏洞 (CVE-2022-31657) 被评为中等;路径遍历漏洞 (CVE-2022-31662) 被评为中等。
尽早打补丁,打补丁
VMware 对其产品中发现的严重错误必须匆忙发布补丁并不陌生,并且由于其平台在企业网络中无处不在,它也遭受了安全问题的困扰。
例如,在 6 月下旬,联邦机构警告攻击者攻击VMware Horizon 和统一访问网关 (UAG) 服务器以利用现已臭名昭著的Log4Shell RCE 漏洞,这是去年年底在 Apache 日志库 Log4J 中发现的一个易于利用的漏洞并从那时起不断针对VMware 和其他平台。
事实上,有时即使是打补丁对 VMware 来说仍然不够,攻击者会在公司尽职尽责发布修复程序后瞄准现有漏洞。
这种情况发生在 2020 年 12 月,当时联邦调查局警告对手在供应商修补漏洞三天后积极利用 Workspace One Access 和 Identity Manager 产品中存在数周的漏洞。
一位安全专家指出,尽管所有迹象都表明修补 VMware 平台的最新威胁的紧迫性,但很有可能即使听取了建议,但在可预见的未来,这种危险仍将持续存在。
Sevco Security 的联合创始人 Greg Fitzgerald 在给 Threatpost 的电子邮件中指出,虽然企业最初往往会迅速采取行动来修补其网络中最迫在眉睫的威胁,但他们往往会错过攻击者可以利用漏洞的其他地方。他说,这就是导致持续和持续攻击的原因。
“对企业来说,最大的风险不是他们应用关键补丁的速度;而是他们应用关键补丁的速度。它来自于没有在每个资产上应用补丁,”菲茨杰拉德说。“一个简单的事实是,大多数组织无法维护最新且准确的 IT 资产清单,而最挑剔的补丁管理方法无法确保所有企业资产都得到考虑。”
