信息來源：安全內(nèi)參

VMware 提醒客戶稱，vCenter Server 8.0（最新版本）仍然未修復(fù)早在2021年11月就已發(fā)現(xiàn)的一個(gè)高危漏洞（CVE-2022-22048）。

該漏洞是由CrowdStrike 公司的研究員在vCenter Server的IWA（集成Windows認(rèn)證）機(jī)制中發(fā)現(xiàn)的，它還影響 VMware的Cloud Foundation 混合云平臺(tái)部署。

具有非管理員權(quán)限的攻擊者可利用該漏洞，在未修復(fù)服務(wù)器上，將權(quán)限提升至更高的權(quán)限組。

VMware 表示攻擊者僅可使用鄰近目標(biāo)服務(wù)器的向量網(wǎng)絡(luò)利用該漏洞，發(fā)動(dòng)低權(quán)限且無需用戶交互的高復(fù)雜性攻擊（然而，NIST旗下NVD表示可遭遠(yuǎn)程利用，發(fā)動(dòng)低復(fù)雜度攻擊）。

盡管如此，VMware 將該漏洞的嚴(yán)重性評(píng)級(jí)為“重要”，意味著“利用可導(dǎo)致用戶數(shù)據(jù)和/或通過用戶協(xié)助或認(rèn)證攻擊者處理資源的機(jī)密性和/或完整性遭完全攻陷”。

盡管VMware 在2022年7月已發(fā)布安全更新，但僅解決了運(yùn)行當(dāng)時(shí)最新發(fā)布 (vCenter Server 7.0 Update 3f) 中的漏洞，不過11天后，由于補(bǔ)丁無法修復(fù)該漏洞且導(dǎo)致安全令牌服務(wù) (vmware-stsd)在修復(fù)過程中崩潰而被放棄。

VMware 發(fā)布安全公告指出，“VMware 認(rèn)為響應(yīng)矩陣中提到的 vCenter 7.0u3f 更新并未解決CVE-2021-22048，并引入功能問題。”

緩解措施已發(fā)布

盡管尚不存在針對(duì)所有受影響產(chǎn)品的補(bǔ)丁，但VMware提供了緩解措施，可使管理員移除該攻擊向量。

要攔截攻擊嘗試，VMware建議管理員從IWA轉(zhuǎn)向 Active Directory over LDAPs 認(rèn)證或者Identity Provider Federation for AD FS （僅限vSphere 7.0）。

VMware公司解釋稱，“Active Directory over LDAP認(rèn)證并不受該漏洞影響。然而，VMware 強(qiáng)烈建議客戶轉(zhuǎn)向另一種認(rèn)證方法。Active Directory over LDAP并不理解域信任，因此轉(zhuǎn)向該方法的客戶必須為所信任的每個(gè)域名配置唯一的身份源。Identity Provider Federation for AD FS沒有這種限制。”

VMware 提供了相關(guān)更改指南。