您所在的位置: 首頁 >
安全研究 >
安全通告 >
VMware統(tǒng)一端點管理控制臺存高危漏洞
VMware統(tǒng)一端點管理控制臺(Workspace ONE UEM)中存關(guān)鍵服務(wù)器端請求偽造(SSRF)漏洞,該漏洞CVSSv3評分9.1/10,VMware官方認(rèn)定屬于高危漏洞。
此漏洞跟蹤為CVE-2021-22054,是一個服務(wù)器端請求偽造 (SSRF) 漏洞,影響多個ONE UEM控制臺版本,VMware已經(jīng)發(fā)布針對性安全補丁。
具有UEM網(wǎng)絡(luò)訪問權(quán)限的攻擊者可以利用該漏洞訪問管理控制臺中的敏感數(shù)據(jù),攻擊者可以通過向易受攻擊的軟件發(fā)送未經(jīng)身份驗證的請求,可以在低復(fù)雜度的攻擊中遠(yuǎn)程利用此漏洞,而無需用戶交互。
“VMware Workspace ONE UEM控制臺包含一個服務(wù)器端請求偽造(SSRF)漏洞。VMware已評估此問題的嚴(yán)重性處于“危急”嚴(yán)重性范圍內(nèi),最高CVSSv3 基本分?jǐn)?shù)為9.1。” VMware發(fā)布的分析公告對此描述?!熬哂蠻EM網(wǎng)絡(luò)訪問權(quán)限的惡意行為者可以在未經(jīng)身份驗證的情況下發(fā)送他們的請求,并可能利用此問題來訪問敏感信息。”
都能涉敏了那么很快應(yīng)該會被利用嘍?!畢竟沒打補丁的會有很多,因此本文目的只為傳遞給更多用戶,督促速度修復(fù)漏洞。
以下是受影響的版本列表:
可用的解決方法
如果您無法立即部署上表中的修補版本之一,VMware還提供短期緩解措施來阻止利用嘗試。臨時解決方法要求您按照下面的網(wǎng)址概述的步驟編輯UEM web.config文件,并重新啟動已應(yīng)用此解決方法的所有服務(wù)器實例。VMware還提供了驗證該變通辦法能否成功阻止使用CVE-2021-22054漏洞利用的攻擊的步驟。
當(dāng)前不在修補版本上的本地環(huán)境的短期緩解措施:
1、識別環(huán)境中安裝了 UEM Console 應(yīng)用程序的所有 Windows 服務(wù)器
2、使用遠(yuǎn)程桌面或物理訪問獲取對服務(wù)器的管理員級別訪問權(quán)限。
3、使用您喜歡的文本編輯器修補Workspace ONE UEM文件。該文件默認(rèn)位于{Install-Drive}\AirWatch\Default Website文件夾中。注意:可以有多個system.webServer部分。請按照下面的xpath了解需要應(yīng)用更改的確切位置。添加以下重寫規(guī)則的rules值:
(xpath: /configuration/system.webServer/rewrite/rules)
注意:在環(huán)境中安裝了UEM控制臺應(yīng)用程序的每臺Windows服務(wù)器上重復(fù)此操作。
保存上述更改后重新啟動 IIS。使用變通方法修補所有服務(wù)器實例后,繼續(xù)執(zhí)行“如何驗證變通方法”。如果配置文件沒有system.webServer部分,以下是完整部分的示例:
如何驗證解決方法
當(dāng)請求具有“url”查詢參數(shù)時,解決方法是阻止對 BlobHandler.ashx 端點的任何訪問。應(yīng)用變通方法后,任何具有阻止模式的請求都應(yīng)導(dǎo)致 404 Not Found 響應(yīng)。要測試解決方法,請打開瀏覽器并導(dǎo)航到以下網(wǎng)址
響應(yīng)應(yīng)顯示 :404 Not Found
注意:如果您的服務(wù)器配置為根據(jù)404響應(yīng)自動重定向,您可能會看到重定向到控制臺登錄頁面。
更改的影響與變通方法
■ 應(yīng)用程序圖標(biāo)不會顯示在用于搜索公共應(yīng)用程序的控制臺屏幕上。
■ IIS 重置將導(dǎo)致登錄到正在修補服務(wù)器實例的管理員注銷。管理員應(yīng)該能夠在不久之后重新登錄。
■ 不會對受管設(shè)備產(chǎn)生影響
VMware管理員們迅速修補Workspace ONE UEM中此高危漏洞。
我們在此敦促中國VMware管理員們應(yīng)迅速修補Workspace ONE UEM中此高危漏洞,畢竟威脅參與者可能會濫用該漏洞來訪問敏感信息。
目前美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布公告敦促用戶積極修復(fù)。
公告地址:
https://www.vmware.com/security/advisories/VMSA-2021-0029.html
修復(fù)方法:
https://kb.vmware.com/s/article/87167
來源:紅數(shù)位