VMware Workspace ONE Access 等產(chǎn)品存在多個(gè)安全漏洞
( CVE- - 2022- - 22972/CVE- - 2022- - 22973 )
一、預(yù)警背景描述
2022 年 5 月 18 日,VMware 發(fā)布安全公告,修復(fù)了兩個(gè)存在于 VMware Workspace ONE Access (Access)、VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud、Foundation、vRealize Suite Lifecycle Manager 中的安全漏洞,分別為:VMware 身份驗(yàn)證繞過(guò)漏洞(CVE-2022-22972)、VMware 權(quán)限提升漏洞(CVE-2022-22973)。
二、預(yù)警描述
Workspace ONE Access 是 VMware 公司開(kāi)發(fā)的一款智能驅(qū)動(dòng)型數(shù)字化工作空間平臺(tái),通過(guò) Workspace ONE Access 能夠隨時(shí)隨地在任意設(shè)備上輕松、安全地交付和管理任意應(yīng)用。
Workspace ONE Access、Identity Manager 及 vRealizeAutomation 中存在身份驗(yàn)證繞過(guò)漏洞,可訪問(wèn)其 UI 的攻擊者無(wú)需身份驗(yàn)證即可通過(guò)該漏洞獲取管理權(quán)限。
VMware Workspace ONE Access 、Identity Manager 中存在權(quán)限提升漏洞,具有本地訪問(wèn)權(quán)限的攻擊者可以將權(quán)限提升到“root”。
漏洞危害攻擊者成功利用上述漏洞可實(shí)現(xiàn)繞過(guò)和提權(quán)。
三、受影響范圍
VMware Cloud Foundation 4.3.x、3.x、4.2.x、4.1、4.0.x
VMware Workspace One Access 21.08.0.1 、 21.08.0.0 、
20.10.0.1、20.10.0.0
VMware Identity Manager 3.3.6、3.3.5、3.3.4、3.3.3
VMware vRealize Automation 7.6
vRealize Suite Lifecycle Manager 8.x
四、修復(fù)建議
官方已發(fā)布安全補(bǔ)丁,建議相關(guān)用戶盡快自查并采取安全措施。