搜尋

情資內容

更新時間:2022/05/27 05:48:44
發佈時間:2022/05/27 05:48:44
TLP: (White)
得對外公開散布,但不得違反著作權法等相關規定

更新說明:

一、漏洞說明 1. VMware Workspace ONE Access、Identity Manager、vRealize Automation存在高風險RCE漏洞(CVE-2022-22954),以及高風險權限提升漏洞(CVE-2022-22960)。前者可被利用於針對伺服器端模板進行注入攻擊(server-side template injection),讓攻擊者可自遠端執行惡意程式碼。後者可被利用於擁有本地端存取權限的攻擊者,得以提升權限至 root。[1] 2. US-CERT 於近日發出警告,表示已觀察到有駭客組織試圖串聯此兩個漏洞進行相關攻擊。首先利用 CVE-2022-22954 漏洞讓未經身分驗證的使用者得以 VMware 用戶的身分,自遠端執行任意指令,接著利用 CVE-2022-22960 漏洞將用戶權限提升後,登入設備以進行後續刪除日誌、提升權限以及橫向移動至其他系統等攻擊。[2] 二、已揭露攻擊程式碼說明 1. GitHub 已有關於CVE-2022-22954之攻擊程式碼[3] 2. AttackerKB 已有關於串聯此兩個漏洞的攻擊程式碼及流程[4]。 三、漏洞影響產品列表 1. VMware Workspace ONE Access(Linux 平台):21.08.0.0、21.08.0.1、20.10.0.0、20.10.0.1 2. VMware Identity Manager(Linux 平台):3.3.3~3.3.6 3. vRealize Automation(Linux 平台):7.6(僅 CVE-2022-22960 )、8.x (僅於啟用vIDM情況下會受到漏洞影響,vIDM預設為不啟用) 4. VMware Cloud Foundation(全平台):4.X 5. VMware Cloud Foundation(全平台):3.X (僅 CVE-2022-22960 ) 6. vRealize Suite Lifecycle Manager(全平台):8.X 四、CVSS向量:CVE-2022-22954、CVE-2022-22960 [5] 使用版本:CVSS 3.1 分析分數:9.8、7.8 影響等級:3 參考來源: NVD 五、建議措施 1.VMware 已於2022年4月份發布更新,建議評估後執行。[1] 2.建議參考 US-CERT 報告內容所提供之檢測方式,檢視單位內系統是否有相關遭利用的紀錄,並依風險程度進行相關應處措施。 六、參考資訊 1.VMware https://www.vmware.com/security/advisories/VMSA-2022-0011.html 2.US-CERT https://www.cisa.gov/uscert/ncas/alerts/aa22-138b 3.GitHub https://github.com/axingde/CVE-2022-22954-POC 4.AttackerKB https://attackerkb.com/topics/BDXyTqY1ld/cve-2022-22954/rapid7-analysis?referrer=activityFeed 5.NVD https://nvd.nist.gov/vuln/detail/CVE-2022-22954 https://nvd.nist.gov/vuln/detail/CVE-2022-22960 建議措施: 參考資料: 影響平台:
情資編號:
FISAC-202205-0011
系統目錄:
資安漏洞
資安類別:
資安訊息情資 / 其他
影響等級:
3
關鍵字:
弱點漏洞