您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
VMware統(tǒng)一端點(diǎn)管理控制臺(tái)存高危漏洞
VMware統(tǒng)一端點(diǎn)管理控制臺(tái)(Workspace ONE UEM)中存關(guān)鍵服務(wù)器端請(qǐng)求偽造(SSRF)漏洞,該漏洞CVSSv3評(píng)分9.1/10,VMware官方認(rèn)定屬于高危漏洞。
此漏洞跟蹤為CVE-2021-22054,是一個(gè)服務(wù)器端請(qǐng)求偽造 (SSRF) 漏洞,影響多個(gè)ONE UEM控制臺(tái)版本,VMware已經(jīng)發(fā)布針對(duì)性安全補(bǔ)丁。
具有UEM網(wǎng)絡(luò)訪問權(quán)限的攻擊者可以利用該漏洞訪問管理控制臺(tái)中的敏感數(shù)據(jù),攻擊者可以通過向易受攻擊的軟件發(fā)送未經(jīng)身份驗(yàn)證的請(qǐng)求,可以在低復(fù)雜度的攻擊中遠(yuǎn)程利用此漏洞,而無需用戶交互。
“VMware Workspace ONE UEM控制臺(tái)包含一個(gè)服務(wù)器端請(qǐng)求偽造(SSRF)漏洞。VMware已評(píng)估此問題的嚴(yán)重性處于“危急”嚴(yán)重性范圍內(nèi),最高CVSSv3 基本分?jǐn)?shù)為9.1?!? VMware發(fā)布的分析公告對(duì)此描述?!熬哂蠻EM網(wǎng)絡(luò)訪問權(quán)限的惡意行為者可以在未經(jīng)身份驗(yàn)證的情況下發(fā)送他們的請(qǐng)求,并可能利用此問題來訪問敏感信息。”
都能涉敏了那么很快應(yīng)該會(huì)被利用嘍?!畢竟沒打補(bǔ)丁的會(huì)有很多,因此本文目的只為傳遞給更多用戶,督促速度修復(fù)漏洞。
以下是受影響的版本列表:
可用的解決方法
如果您無法立即部署上表中的修補(bǔ)版本之一,VMware還提供短期緩解措施來阻止利用嘗試。臨時(shí)解決方法要求您按照下面的網(wǎng)址概述的步驟編輯UEM web.config文件,并重新啟動(dòng)已應(yīng)用此解決方法的所有服務(wù)器實(shí)例。VMware還提供了驗(yàn)證該變通辦法能否成功阻止使用CVE-2021-22054漏洞利用的攻擊的步驟。
當(dāng)前不在修補(bǔ)版本上的本地環(huán)境的短期緩解措施:
1、識(shí)別環(huán)境中安裝了 UEM Console 應(yīng)用程序的所有 Windows 服務(wù)器
2、使用遠(yuǎn)程桌面或物理訪問獲取對(duì)服務(wù)器的管理員級(jí)別訪問權(quán)限。
3、使用您喜歡的文本編輯器修補(bǔ)Workspace ONE UEM文件。該文件默認(rèn)位于{Install-Drive}\AirWatch\Default Website文件夾中。注意:可以有多個(gè)system.webServer部分。請(qǐng)按照下面的xpath了解需要應(yīng)用更改的確切位置。添加以下重寫規(guī)則的rules值:
(xpath: /configuration/system.webServer/rewrite/rules)
注意:在環(huán)境中安裝了UEM控制臺(tái)應(yīng)用程序的每臺(tái)Windows服務(wù)器上重復(fù)此操作。
保存上述更改后重新啟動(dòng) IIS。使用變通方法修補(bǔ)所有服務(wù)器實(shí)例后,繼續(xù)執(zhí)行“如何驗(yàn)證變通方法”。如果配置文件沒有system.webServer部分,以下是完整部分的示例:
如何驗(yàn)證解決方法
當(dāng)請(qǐng)求具有“url”查詢參數(shù)時(shí),解決方法是阻止對(duì) BlobHandler.ashx 端點(diǎn)的任何訪問。應(yīng)用變通方法后,任何具有阻止模式的請(qǐng)求都應(yīng)導(dǎo)致 404 Not Found 響應(yīng)。要測(cè)試解決方法,請(qǐng)打開瀏覽器并導(dǎo)航到以下網(wǎng)址
響應(yīng)應(yīng)顯示 :404 Not Found
注意:如果您的服務(wù)器配置為根據(jù)404響應(yīng)自動(dòng)重定向,您可能會(huì)看到重定向到控制臺(tái)登錄頁(yè)面。
更改的影響與變通方法
■ 應(yīng)用程序圖標(biāo)不會(huì)顯示在用于搜索公共應(yīng)用程序的控制臺(tái)屏幕上。
■ IIS 重置將導(dǎo)致登錄到正在修補(bǔ)服務(wù)器實(shí)例的管理員注銷。管理員應(yīng)該能夠在不久之后重新登錄。
■ 不會(huì)對(duì)受管設(shè)備產(chǎn)生影響
VMware管理員們迅速修補(bǔ)Workspace ONE UEM中此高危漏洞。
我們?cè)诖硕卮僦袊?guó)VMware管理員們應(yīng)迅速修補(bǔ)Workspace ONE UEM中此高危漏洞,畢竟威脅參與者可能會(huì)濫用該漏洞來訪問敏感信息。
目前美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布公告敦促用戶積極修復(fù)。
公告地址:
https://www.vmware.com/security/advisories/VMSA-2021-0029.html
修復(fù)方法:
https://kb.vmware.com/s/article/87167
來源:紅數(shù)位