信息來源:安全內(nèi)參
VMware 提醒客戶稱,vCenter Server 8.0(最新版本)仍然未修復(fù)早在2021年11月就已發(fā)現(xiàn)的一個高危漏洞(CVE-2022-22048)。
該漏洞是由CrowdStrike 公司的研究員在vCenter Server的IWA(集成Windows認(rèn)證)機(jī)制中發(fā)現(xiàn)的,它還影響 VMware的Cloud Foundation 混合云平臺部署。
具有非管理員權(quán)限的攻擊者可利用該漏洞,在未修復(fù)服務(wù)器上,將權(quán)限提升至更高的權(quán)限組。
VMware 表示攻擊者僅可使用鄰近目標(biāo)服務(wù)器的向量網(wǎng)絡(luò)利用該漏洞,發(fā)動低權(quán)限且無需用戶交互的高復(fù)雜性攻擊(然而,NIST旗下NVD表示可遭遠(yuǎn)程利用,發(fā)動低復(fù)雜度攻擊)。
盡管如此,VMware 將該漏洞的嚴(yán)重性評級為“重要”,意味著“利用可導(dǎo)致用戶數(shù)據(jù)和/或通過用戶協(xié)助或認(rèn)證攻擊者處理資源的機(jī)密性和/或完整性遭完全攻陷”。
盡管VMware 在2022年7月已發(fā)布安全更新,但僅解決了運(yùn)行當(dāng)時最新發(fā)布 (vCenter Server 7.0 Update 3f) 中的漏洞,不過11天后,由于補(bǔ)丁無法修復(fù)該漏洞且導(dǎo)致安全令牌服務(wù) (vmware-stsd)在修復(fù)過程中崩潰而被放棄。
VMware 發(fā)布安全公告指出,“VMware 認(rèn)為響應(yīng)矩陣中提到的 vCenter 7.0u3f 更新并未解決CVE-2021-22048,并引入功能問題?!?
緩解措施已發(fā)布
盡管尚不存在針對所有受影響產(chǎn)品的補(bǔ)丁,但VMware提供了緩解措施,可使管理員移除該攻擊向量。
要攔截攻擊嘗試,VMware建議管理員從IWA轉(zhuǎn)向 Active Directory over LDAPs 認(rèn)證或者Identity Provider Federation for AD FS (僅限vSphere 7.0)。
VMware公司解釋稱,“Active Directory over LDAP認(rèn)證并不受該漏洞影響。然而,VMware 強(qiáng)烈建議客戶轉(zhuǎn)向另一種認(rèn)證方法。Active Directory over LDAP并不理解域信任,因此轉(zhuǎn)向該方法的客戶必須為所信任的每個域名配置唯一的身份源。Identity Provider Federation for AD FS沒有這種限制?!?
VMware 提供了相關(guān)更改指南。