VMware 已发布安全更新以解决 Workspace ONE Assist 解决方案中的三个严重漏洞,这些漏洞使远程攻击者能够绕过身份验证并将权限提升为管理员。
Workspace ONE Assist 提供远程控制、屏幕共享、文件系统管理和远程命令执行,帮助台和 IT 人员从 Workspace ONE 控制台实时远程访问设备并进行故障排除。
这些漏洞被跟踪为 CVE-2022-31685(身份验证绕过)、CVE-2022-31686(损坏的身份验证方法)和 CVE-2022-31687(损坏的身份验证控制),并获得了 9.8/10 CVSSv3 基本分数。
未经身份验证的威胁参与者可以在不需要用户交互来提升权限的低复杂度攻击中利用它们。
“拥有 Workspace ONE Assist 网络访问权限的恶意行为者可能无需对应用程序进行身份验证即可获得管理访问权限,”VMware 描述 了这三个安全漏洞。
已在 Workspace ONE Assist 22.10 中修复
该公司今天通过发布 适用于 Windows 客户的Workspace ONE Assist 22.10 (89993)对它们进行了修补。
VMware 还修补了一个反射式跨站点脚本 (XSS) 漏洞 (CVE-2022-31688),该漏洞使攻击者能够在目标用户的窗口中注入 javascript 代码,以及一个会话固定漏洞 (CVE-2022-31689),该漏洞允许在获得有效的会话令牌。
REQON IT-Security 的 Jasper Westerman、Jan van der Put、Yanick de Pater 和 Harm Blankers 发现并报告了今天修补的所有漏洞。
8 月,VMware 警告管理员 修补 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的另一个关键身份验证绕过安全漏洞,使未经身份验证的攻击者能够获得管理员权限。
一周后,该公司透露, 在发现并报告该漏洞的研究人员分享了一个 PoC 漏洞利用后,概念证明 (PoC) 漏洞利用代码在网上发布。
5 月,VMware 修补了一个几乎相同的严重漏洞,即 Innotec Security in Workspace ONE Access、VMware Identity Manager (vIDM) 和 vRealize Automation 的 Bruno López 发现的另一个身份验证绕过 (CVE-2022-22972)。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » VMware修复了远程访问工具中的三个关键身份验证绕过错误
