VMware解决了VMware Carbon Black Cloud Workload设备中的一个严重漏洞,该漏洞可能使攻击者在利用易受攻击的服务器后绕过身份验证。
VMware Carbon Black Cloud Workload是一个Linux数据中心安全软件,旨在保护虚拟化环境中运行的工作负载。
它还捆绑了端点保护功能,包括端点检测和响应(EDR),下一代防病毒软件以及实时威胁搜寻。此安全漏洞影响VMware Carbon Black Cloud Workload设备版本1.0.1和更早版本。
管理界面可用于身份验证绕过
攻击者可以通过操纵管理接口URL来获取有效的身份验证令牌,从而利用跟踪为CVE-2021-21982的安全漏洞。
然后,使用此身份验证令牌,恶意参与者可以访问未打补丁的VMware Carbon Black Cloud Workload设备的管理API。
成功利用安全漏洞,攻击者可以查看和修改管理配置设置。
在低复杂度攻击中,攻击者可以远程利用CVE-2021-21982,而无需身份验证或用户交互。
VMware将该安全漏洞评估为严重程度,将其CVSSv3基本得分定为9.1 / 10。
漏洞是由Positive Technologies网络安全研究员Egor Dimitrenko发现并秘密报告给VMware的。
缓解措施也可用
VMware还为无法立即修补其VMware Carbon Black Cloud Workload设备的管理员发布了缓解信息。
根据公司的建议,删除对设备本地管理界面的远程访问足以删除攻击媒介。
该公司表示:“ VMware最佳做法建议实施网络控制,以限制对设备本地管理界面的访问。”
“产品的常规操作不需要对此接口进行不受限制的网络访问。”
VMware修补了Dimitrenko在vRealize Operations IT运营管理平台中发现的另外两个漏洞。
当链接在一起时,这两个错误会导致易受攻击的vRealize Operations服务器上的预认证远程代码执行(RCE)。