概念验证利用代码现在可用于预身份验证远程代码执行 (RCE) 漏洞,允许攻击者在未修补的 Cloud Foundation 和 NSX Manager 设备上以 root 权限远程执行任意代码。
该漏洞 (CVE-2021-39144) 位于两个 VMware 产品使用的 XStream 开源库中,并且被 VMware 分配了几乎最高的 CVSSv3 基本分数 9.8/10。
未经身份验证的威胁参与者可以在不需要用户交互的低复杂度攻击中远程利用它。
VMware 发布了安全更新 ,以解决 MDSec 的 Sina Kheirkhah 和 Source Incite 的 Steven Seeley 周二报告的 CVE-2021-39144 漏洞。
此外,由于问题的严重性,该公司还为一些 报废产品提供了补丁。
同一天,Kheirkhah 还在 Seeley 的博客上发布 了概念验证 (PoC) 漏洞利用代码 和对该漏洞的技术分析。
“攻击者可以使用动态代理发送特制的 XStream 编组有效负载,并在 root 的上下文中触发远程代码执行,”安全研究人员解释说。
周五,VMware 还更新了其公告,以确认“利用 CVE-2022-39144 针对 VCF (NSX-V) 的漏洞利用代码已经发布。”
解决方法也可用
VMware 还 为无法立即部署安全更新以修补其设备的管理员共享了一个临时解决方案。
根据 单独的支持文档中详述的步骤,管理员必须通过 SSH 和 sudo 登录到其 Cloud Foundation 环境中的每个 SDDC 管理器虚拟机到 root 帐户。
接下来,他们必须通过应用 NSX for vSphere (NSX-V) 热补丁将 XStream 库升级到版本 1.4.19,以消除攻击媒介。
但是,与应用周二发布的 CVE-2021-39144 安全更新不同的是,该解决方法将要求管理员在每次“创建新的 VI 工作负载域”时都执行此过程。
8 月,VMware 警告客户 注意另一个 针对多个 VMware 产品中的关键身份验证绕过安全漏洞 (CVE-2022-31656) 的公共 PoC 漏洞利用,允许攻击者在未修补的设备上获得管理员权限。
VMware 还通知 本月更新到 vCenter Server 8.0(最新版本)的客户,他们将不得不等待补丁来解决该公司近一年前,即 2021 年 11 月披露的特权升级漏洞。
