标签: VMWare

VMware 修复了三个身份认证绕过漏洞

Bleeping Computer  网站披露,VMware 近期发布了安全更新,以解决 Workspace ONE Assist 解决方案中的三个严重漏洞,分别追踪为 CVE-2022-31685(认证绕过)、CVE-2022-31686 (认证方法失败)和 CVE-2022-31687 (认证控制失败)。据悉,这些漏洞允许远程攻击者绕过身份验证并提升管理员权限。 Workspace ONE Assist  可以提供远程控制、屏幕共享、文件系统管理和远程命令执行,以帮助服务后台和 IT 人员从 Workspace ONE 控制台实时远程访问设备并排除故障。 未经身份认证的威胁攻击者可以在不需要用户交互进行权限升级的低复杂度攻击中利用这些漏洞。从 VMware 发布的声明来看,一旦具有 Workspace ONE Assist 网络访问权限的恶意攻击者成功利用这些漏洞,无需对应用程序进行身份验证就可以获得管理访问权限。 漏洞现已修复 目前,VMware为Windows 已经为客户发布了 Workspace ONE Assist 22.10(89993),对这些漏洞进行了修补。 此外,VMware 还修补了一个反射式跨站脚本(XSS)漏洞(CVE-2022-31688)以及一个会话固定漏洞(CVE-2022-31689),前者允许攻击者在目标用户的窗口中注入 javascript 代码,,后者允许攻击者获得有效会话令牌后进行身份验证。 值得一提的是,Workspace ONE Assist 22.10 版本修补的所有漏洞都是由 REQON IT-Security的Jasper Westerman、Jan van der Put、Yanick de Pater 和 Harm Blankers 发现并报告给 VMware 的。 VMware 修复了多个安全漏洞 今年 8 月,VMware 警告管理员要修补 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中另外一个关键身份认证绕过安全漏洞,该漏洞允许未经认证的攻击者获得管理权限。 同年 5 月,Mware 修补了一个几乎相同的关键漏洞,该漏洞是 Innotec Security的Bruno López 在 Workspace ONE Access、VMware Identity Manager(vIDM)和vRealize Automation 中发现的另一个身份验证绕过漏洞(CVE-222-22972)。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349339.html 封面来源于网络,如有侵权请联系删除

超 45000 台 VMware ESXi 服务器确定报废

Lansweeper 盘点的超过 45,000 台 VMware ESXi 服务器刚刚达到使用寿命 (EOL),除非公司购买扩展支持合同,否则 VMware 将不再提供软件和安全更新。 自 2022 年 10 月 15 日起,VMware ESXi 6.5 和 VMware ESXi 6.7 已结束生命周期,将仅获得技术支持而不会获得安全更新,从而使软件面临漏洞风险。该公司分析了来自 6,000 名客户的数据,发现安装了 79,000 台 VMware ESXi 服务器。 在这些服务器中,36.5% (28,835) 运行2018年4月发布的6.7.0版,21.3% (16,830) 运行2016年11月发布的6.5.0版。总共有45,654台 VMware ESXi 服务器即将结束生命。 Lansweeper 的调查结果令人担忧,除了57%进入高风险时期外,还有另外15.8%的安装运行更旧的版本,从3.5.0到5.5.0很久以前就达到了EOL . 目前,Lansweeper盘点的ESXi服务器中只有大约四分之一 (26.4%) 仍受支持,并将继续定期接收安全更新,直到2025年4月2日。 然而,实际上,今天达到EOL的VMware服务器数量可能要大得多,因为该报告仅基于 Lansweeper 的客户。 ESXi 6.5 和 6.7 的技术指南将持续到2023年11月15日,但这涉及实施问题,不包括安全风险缓解。 为了确保可以继续安全使用旧版本的唯一方法是申请两年延长支持,该支持需要单独购买。但是,这不包括第三方软件包的更新。 有关所有 VMware 软件产品的 EOL 日期的更多详细信息,请查看原文链接。 这意味着什么? 当软件产品达到生命周期结束日期时,它会停止接收定期安全更新。这意味着管理员应该已经提前计划并将所有部署升级到更新的版本。 尽管 VMware 仍会为这些旧版本提供一些关键的安全补丁并非不可能,但它不能保证并且肯定不会为所有发现的新漏洞发布补丁。 一旦不受支持的 ESXi 服务器在没有补丁的情况下运行了足够长的时间,它就会积累如此多的安全漏洞,攻击者将有多种方法来破坏它。 由于 ESXi 托管虚拟机,攻击服务器可能会对业务运营造成严重和大规模的破坏,这就是勒索软件团伙如此专注于攻击它的原因。 今年,ESXi VM 成为 Black Basta、RedAlert、GwisinLocker、Hive和 Cheers 勒索软件团伙之类的目标。 最近,Mandiant 发现黑客发现 了一种在 VMware ESXi 虚拟机管理程序上建立持久性的新方法 ,可以让他们控制服务器和托管的虚拟机而不被发现。 但是,ESXi 已经受到威胁参与者的充分关注,因此运行该软件的过时且易受攻击的版本无疑是一个糟糕的主意。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/dMsR7mQxNdJ0hv-mTg5bOg 封面来源于网络,如有侵权请联系删除

近一年时间过去了,VMware 的这一漏洞仍悬而未决

据Bleeping Computer消息,VMware于10月11日通知客户,vCenter Server 8.0(最新版本)仍在等待补丁来解决 2021 年 11 月披露的高严重性特权提升漏洞。 该安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA(集成 Windows 身份验证)机制中发现,影响范围涉及到了 VMware 的 Cloud Foundation 混合云平台部署,具有非管理访问权限的攻击者可以利用漏洞,在未打补丁的服务器上将权限提升到更高权限组。 VMware 表示,只有使用与目标服务器相邻的向量网络的攻击者才能利用此漏洞作为高复杂性攻击的一部分,该攻击需要低权限且无需用户交互(但是NIST NVD 的 CVE-2021-22048 条目表示它可以远程利用低- 复杂性攻击)。 尽管如此,VMware 仍将该漏洞的严重性评估为“重要”, 这意味着通过用户协助或经过验证的攻击者能利用漏洞泄露用户数据。 尽管该公司在 2022 年 7 月发布安全更新,但仅解决了当时运行最新可用版本(vCenter Server 7.0 Update 3f)的服务器漏洞,即便如此,该补丁也在发布 11 天后被撤回,因为它没有修复漏洞并导致 Secure打补丁时令牌服务 (vmware-stsd) 崩溃。 补丁发布之前的解决方法 尽管所有受影响产品都还在苦苦等待补丁的到来,但 VMware 提供了一种解决方法,允许管理员删除攻击媒介。 为了阻止攻击尝试,VMware 建议管理员从受影响的集成 Windows 身份验证 (IWA) 切换到 Active Directory over LDAPs 身份验证或 AD FS 身份提供程序联合身份验证(仅限 vSphere 7.0)。 转自 Freebuf,原文链接:https://www.freebuf.com/news/346632.html 封面来源于网络,如有侵权请联系删除

VMware 修复了 VMware Tools 中的权限升级问题

Hackernews 编译,转载请注明出处: VMware本周发布了补丁,以解决VMware Tools实用工具套件中的一个严重漏洞,该漏洞被跟踪为CVE-2022-31676。 VMware Tools是一组服务和模块,支持公司产品中的多项功能,以便更好地管理客户机操作系统,并与客户机操作系统进行无缝用户交互。 对客户机操作系统具有本地非管理访问权限的攻击者可以触发CVE-2022-31676漏洞,从而提升受损系统上的权限。 通报中写道:“VMware Tools受到本地权限提升漏洞的影响,对客户机操作系统具有本地非管理访问权限的黑客可以作为虚拟机中的root用户提升权限。” 该漏洞影响了Windows和Linux平台上的工具,该公司发布的固定版本是12.1.0和10.3.25。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文  

VMware 警告关键身份验证绕过漏洞的公共 PoC 代码

Hackernews 编译,转载请注明出处: VMware警告其客户,在多个产品中存在针对关键身份验证绕过漏洞的概念验证漏洞利用代码,该漏洞追踪为CVE-2022-31656。VNG security的安全研究员Petrus Viet发现了这个漏洞,并且今天发布了针对该漏洞的概念验证(PoC)漏洞利用代码,并提供了有关该漏洞的技术细节。 上周,这家虚拟化巨头解决了CVE-2022-31656漏洞,该漏洞影响了多个产品的本地域用户,未经身份验证的攻击者可以利用此漏洞获取管理员权限。 虚拟化巨头发布的公告称:“具有用户界面网络访问权限的攻击者,可能无需进行身份验证即可获得管理访问权限。” 该漏洞影响Workspace ONE Access、Identity Manager和vRealize Automation产品,被评为严重漏洞,CVSS v3评分为9.8。 今天,VMware报告了CVE-2022-31656和CVE-2022-31659的PoC漏洞的可用性。 已更新的咨询信息表明,VMware已确认可以在受影响的产品中利用CVE-2022-31656和CVE-202-31659的恶意代码。 好消息是,供应商没有意识到这些攻击利用了野外攻击中的漏洞。 该公司发布的一份公告称:“在发布本文时,VMware并未意识到这些漏洞被利用了。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

针对影响多个产品的新漏洞,VMware 发布安全补丁

Hackernews 编译,转载请注明出处: 虚拟化服务提供商VMware周二发布了更新,以解决影响多个产品的10个安全漏洞,这些漏洞可能被未经身份验证的攻击者滥用以执行恶意操作。 从CVE-2022-31656到CVE-202-31665(CVSS评分:4.7-9.8)跟踪的漏洞会影响VMware Workspace ONE Access、Workspace ONE Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation、Cloud Foundation和vRealize Suite Lifecycle Manager。 其中最严重的漏洞是CVE-2022-31656 (CVSS评分:9.8),这是一个影响本地域用户的身份验证绕过漏洞,具有网络访问权限的黑客可以利用该漏洞来获得管理访问权限。 VMware还解决了与JDBC和SQL注入相关的三个远程代码执行漏洞(CVE-2022-31658、CVE-022-31659和CVE-202-31665),这些漏洞可能被具有管理员和网络访问权限的对手武器化。 在其他地方,它还修复了一个反映的跨站点脚本(XSS)漏洞(CVE-2022-31663),该漏洞是用户清理不当的结果,可能会导致恶意JavaScript代码的激活。 其他补丁包括三个本地权限升级漏洞(CVE-2022-31660、CVE-2022-31661和CVE-2022-31664),它们允许具有本地访问权限的参与者将权限升级为“root”,URL注入漏洞(CVE-2022-31657)和路径遍历漏洞(CVE-2022-31662)。 虽然成功利用CVE-2022-31657可以将经过身份验证的用户重定向到任意域,但CVE-202-31662可能会让攻击者以未经授权的方式读取文件。 VMware表示,它不知道有人在野外利用这些漏洞,但敦促使用易受攻击产品的客户立即应用补丁以缓解潜在威胁。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

EnemyBot 恶意软件增加了针对 VMware 等关键漏洞的攻击

EnemyBot是一个基于多个恶意软件代码的僵尸网络,它通过迅速增加对最近披露的网络服务器、内容管理系统、物联网和Android设备的关键漏洞的利用来扩大其影响范围。该僵尸网络于3月由 Securonix 的研究人员首次发现,在4份对Fortinet的新样本进行分析时,发现EnemyBot已经集成了十几种处理器架构的漏洞。它的主要目的是发起分布式拒绝服务 (DDoS) 攻击,同时还具有扫描新目标设备并感染它们的模块。 AT&T Alien Labs的一份新报告指出,EnemyBot的最新变体包含24个漏洞利用。其中大多数都很关键,有几个甚至没有CVE编号,这使得防御者更难以实施保护。4月份的多数漏洞与路由器和物联网设备有关,其中 CVE-2022-27226 (iRZ) 和 CVE-2022-25075 (TOTOLINK) 是最新的漏洞,而Log4Shell是最引人注目的。然而,AT&T Alien Labs 分析的一个新变种包括针对以下安全问题的漏洞利用: CVE-2022-22954:影响VMware Workspace ONE Access和VMware Identity Manager的严重 (CVSS: 9.8) 远程代码执行漏洞。PoC漏洞利用于2022年4月提供。 CVE-2022-22947:Spring中的远程代码执行漏洞,在 2022年3月修复为零日漏洞,并在 2022 年4月成为大规模攻击目标。 CVE-2022-1388 :影响F5 BIG-IP的严重 (CVSS: 9.8) 远程代码执行漏洞,通过设备接管威胁易受攻击的端点。第一个PoC于2022年5月在野外出现,并且几乎立即就开始被积极利用。 通过查看较新版本的恶意软件支持的命令列表,RSHELL脱颖而出,它被用于在受感染的系统上创建反向shell,这允许威胁参与者绕过防火墙限制并访问受感染的机器。而以前版本中看到的所有命令仍然存在,且提供了有关 DDoS 攻击的丰富选项列表。 EnemyBot背后的组织Keksec正在积极开发该恶意软件,并拥有其他恶意项目:Tsunami、Gafgyt、DarkHTTP、DarkIRC 和 Necro。这似乎是一位经验丰富的恶意软件作者,他对最新项目表现出特别的关注,一旦出现新的漏洞利用,通常会在系统管理员有机会应用修复之前添加。更糟糕的是,AT&T 报告称,可能与 Keksec 有密切关联的人已经发布了 EnemyBot 源代码,这就导致任何对手都可以使用它。 防范此类威胁的建议包括在更新可用时立即修补软件产品并监控网络流量,包括出站连接。目前,EnemyBot 的主要目的是 DDoS 攻击,但也需要考虑其他可能性(例如加密、访问),特别是因为恶意软件现在针对更强大的设备。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334705.html 封面来源于网络,如有侵权请联系删除

PoC 代码已公布,这个 VMware auth 高危漏洞需尽快修补

据Bleeping Computer网站5月26日消息,VMware 已在近期发布了安全更新,以解决影响 Workspace ONE Access、VMware Identity Manager (vIDM) 或 vRealize Automation 的 CVE-2022-22972 漏洞。该漏洞属于多个 VMware 产品中的一个关键身份验证绕过漏洞,能允许攻击者获得管理员权限。 随着漏洞被修补,Horizon3 安全研究人员在26日发布了针对该漏洞的概念验证 (PoC) 漏洞利用和技术分析。 研究人员表示,CVE-2022-22972是一个相对简单的主机标头漏洞,攻击者可以较为容易的开发针对此漏洞的利用。虽然Shodan 搜索引擎仅显示了有限数量的 VMware 设备受到针对此漏洞的攻击,但仍有一些医疗保健、教育行业和政府组织成为攻击目标的风险正在增加。 具有严重后果的安全漏洞 VMware曾警告:“此漏洞的后果很严重。鉴于漏洞的严重性,我们强烈建议立即采取行动。”美国网络安全和基础设施安全局 (CISA)也曾发布新的紧急指令进一步强调了此安全漏洞的严重程度,该指令命令联邦民事执行局 (FCEB) 机构紧急更新或从其网络中删除 VMware 产品。 今年4 月,VMware 修复了 VMware Workspace ONE Access 和 VMware Identity Manager 中的另外两个严重漏洞:一个远程代码执行错误 (CVE-2022-22954) 和一个root权限提升漏洞(CVE-2022-229600)。尽管 CVE-2022-22972 VMware auth bypass 尚未在野外被利用,但攻击者已能够在这两个漏洞披露的 48 小时内部署了系统后门和植入了挖矿木马。 网络安全机构表示,CISA 预计攻击者能够迅速开发出针对这些新发布的漏洞,在相同受影响的 VMware 产品中进行利用的能力。 延伸消息:博通宣布将以610亿美元收购VMware 当地时间5月26日,无线通信巨头博通公司(Broadcom)宣布,已经就收购VMware达成了协议,收购金额达到了610亿美元,并承担VMware 80亿美元的债务。一旦收购完成,博通软件部门将更名为VMware继续运营,并将现有的基础设施和安全软件解决方案与VMware产品进行整合。CNBC称,这是仅次于微软收购动视暴雪,戴尔收购EMC之后的全球第三大科技行业并购。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334457.html 封面来源于网络,如有侵权请联系删除

VMware 修补了多个产品中的关键身份验证绕过漏洞

Bleeping Computer 资讯网站披露,VMware 多个产品中出现关键身份验证绕过漏洞,漏洞允许攻击者获取管理员权限。 据悉,该漏洞被追踪为 CVE-2022-22972,最早由 Innotec Security 的 Bruno López 发现并报告,恶意攻击者可以利用该漏洞在不需要身份验证的情况下,获得管理员权限。 漏洞主要影响了 Workspace ONE Access、VMware Identity Manager(vIDM)和 vRealize Automation,目前尚不清楚是否在野被利用。 敦促管理员立即打补丁 漏洞披露不久后,VMware 发布公告表示,鉴于该漏洞的严重性,强烈建议用户应立刻采取行动,根据 VMSA-2021-0014 中的指示,迅速修补这一关键漏洞。 VMware 还修补了另外一个严重本地权限升级安全漏洞(CVE-2022-22973),攻击者可以利用该漏洞在未打补丁的设备上,将权限提升到 “root”。 受安全漏洞影响的 VMware 产品列表如下: VMware Workspace ONE Access (Access) VMware身份管理器(vIDM) VMware vRealize Automation (vRA) VMware云计算基础 vRealize Suite Lifecycle Manager 通常情况下,VMware 会在大多数安全公告中加入关于主动利用的说明,但在新发布的 VMSA-2022-0014 公告中没有包括此类信息,只在其知识库网站上提供了补丁下载链接和安装说明。 其他临时解决方案 VMware 还为不能立即给设备打补丁的管理员提供了临时解决方法。具体步骤是,要求管理员禁用除管理员以外的所有用户,并通过 SSH 登录,重新启动 horizon-workspace 服务。临时解决方法虽然方便快捷,但不能彻底消除漏洞,而且还可能带来其他复杂性的安全威胁。 因此 VMware 不建议应用临时方法,想要彻底解决 CVE-2022-22972 漏洞,唯一方法是应用 VMSA-2021-0014 中提供的更新补丁。 值得一提的是,4月份,VMware 还修补了 VMware Workspace ONE Access和VMware Identity Manager 中的一个远程代码执行漏洞(CVE-2022-22954)。   转自 Freebuf,原文链接:https://www.freebuf.com/news/333590.html 封面来源于网络,如有侵权请联系删除

VMware 存在严重的命令注入型漏洞 且尚未被修复

VMware发布了临时解决方案,以解决其产品中的一个严重漏洞,攻击者可以利用该漏洞控制受影响的系统。 这家虚拟化软件和服务公司在其咨询中指出:“恶意攻击者可以通过端口8443访问网络上的管理配置器,配置器管理员帐户的有效密码,从而可以在底层操作系统上以不受限制的特权执行命令。” 该命令注入漏洞的编号为CVE-2020-4006,其CVSS评分为9.1(满分10),影响VMware Workspace One Access、Access Connector、Identity Manager和Identity Manager Connector。 虽然该公司表示此漏洞的补丁“即将发布”,但并没有说明预计发布的具体日期。目前尚不清楚该漏洞是否被攻击者利用。 受影响产品的完整列表如下: VMware Workspace One Access(适用于Linux和Windows的版本20.01和20.10) VMware Workspace One Access Connector(适用于Windows的版本20.10、20.01.0.0和20.01.0.1) VMware Identity Manager(适用于Linux和Windows的版本3.3.1、3.3.2和3.3.3) VMware Identity Manager Connector(适用于Linux的版本3.3.1、3.3.2和Windows的3.3.1、3.3.2、3.3.3) VMware Cloud Foundation(适用于Linux和Windows的4.x版) vRealize Suite Lifecycle Manager(适用于Linux和Windows版本8.x) VMware表示,该解决方案仅适用于托管在8443端口上的管理配置器服务。 该公司表示,“解决方法实施后,将无法更改配置器管理的设置。如果需要更改,需要先恢复原来的状态,进行必要的更改后再次禁用,直到补丁可用。”           消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”