VMware 修补了多个产品中的关键身份验证绕过漏洞

发布时间：2022-06-12 14:24 所属栏目：53 来源：互联网

导读：Bleeping Computer 资讯网站披露，VMware 多个产品中出现关键身份验证绕过漏洞，漏洞允许攻击者获取管理员权限。据悉，该漏洞被追踪为 CVE-2022-22972，最早由 Innotec Security 的 Bruno Lpez 发现并报告，恶意攻击者可以利用该漏洞在不需要身份验证的情况

　　Bleeping Computer 资讯网站披露，VMware 多个产品中出现关键身份验证绕过漏洞，漏洞允许攻击者获取管理员权限。

　　据悉，该漏洞被追踪为 CVE-2022-22972，最早由 Innotec Security 的 Bruno López 发现并报告，恶意攻击者可以利用该漏洞在不需要身份验证的情况下，获得管理员权限。

　　漏洞主要影响了 Workspace ONE Access、VMware Identity Manager(vIDM)和 vRealize Automation，目前尚不清楚是否在野被利用。

　　敦促管理员立即打补丁
　　漏洞披露不久后，VMware 发布公告表示，鉴于该漏洞的严重性，强烈建议用户应立刻采取行动，根据 VMSA-2021-0014 中的指示，迅速修补这一关键漏洞。

　　VMware 还修补了另外一个严重本地权限升级安全漏洞(CVE-2022-22973)，攻击者可以利用该漏洞在未打补丁的设备上，将权限提升到 "root"。

　　受安全漏洞影响的 VMware 产品列表如下：

　　VMware Workspace ONE Access (Access)
　　VMware身份管理器(vIDM)
　　VMware vRealize Automation (vRA)
　　VMware云计算基础
　　vRealize Suite Lifecycle Manager
　　通常情况下，VMware 会在大多数安全公告中加入关于主动利用的说明，但在新发布的 VMSA-2022-0014 公告中没有包括此类信息，只在其知识库网站上提供了补丁下载链接和安装说明。

　　其他临时解决方案
　　VMware 还为不能立即给设备打补丁的管理员提供了临时解决方法。具体步骤是，要求管理员禁用除管理员以外的所有用户，并通过 SSH 登录，重新启动 horizon-workspace 服务。临时解决方法虽然方便快捷，但不能彻底消除漏洞，而且还可能带来其他复杂性的安全威胁。

　　因此 VMware 不建议应用临时方法，想要彻底解决 CVE-2022-22972 漏洞，唯一方法是应用 VMSA-2021-0014 中提供的更新补丁。

　　值得一提的是，4月份，VMware 还修补了 VMware Workspace ONE Access和VMware Identity Manager 中的一个远程代码执行漏洞(CVE-2022-22954)。

（编辑：ASP站长网）