VMware bugün yöneticileri, birden fazla üründe yerel etki alanı kullanıcılarını etkileyen ve kimliği doğrulanmamış saldırganların yönetici ayrıcalıkları kazanmasını sağlayan kritik bir kimlik doğrulama atlama güvenlik açığını düzeltmeleri konusunda uyardı.
Hata (CVE-2022-31656), VMware Workspace ONE Access, Identity Manager ve vRealize Automation’ı etkilediğini tespit eden VNG Security’den PetrusViet tarafından bildirildi.
VMware, CVSSv3 taban puanı 9.8/10 ile bu güvenlik açığının ciddiyetini kritik olarak değerlendirdi.
Şirket ayrıca, saldırganların uzaktan kod yürütme (CVE-2022-31658, CVE-2022-31659, CVE-2022-31665) elde etmesine ve ayrıcalıkları ‘kök’e (CVE-2022-31660, CVE-) yükseltmesine olanak tanıyan birçok başka güvenlik hatasını da yamaladı. 2022-31661, CVE-2022-31664) yama uygulanmamış sunucularda.
VMware’de Bulut Altyapısı Güvenliği ve Uyumluluk Mimarı Bob Plankers, “Şirket içi dağıtımlarda bu sorunları yamalamak veya azaltmak için hızla adımlar atmanız son derece önemlidir” dedi.
“Kuruluşunuz değişiklik yönetimi için ITIL metodolojilerini kullanıyorsa, bu bir ‘acil’ değişiklik olarak kabul edilecektir.”
Yöneticiler derhal yama yapmaya çağırdı
VMware, “Bu kritik güvenlik açığı, VMSA’daki talimatlara göre derhal yamalanmalı veya hafifletilmelidir” diye uyardı.
“Tüm ortamlar farklıdır, risklere karşı farklı toleranslara sahiptir ve riski azaltmak için farklı güvenlik kontrollerine ve derinlemesine savunmaya sahiptir, bu nedenle müşterilerin nasıl ilerleyecekleri konusunda kendi kararlarını vermeleri gerekir. Ancak, güvenlik açığının ciddiyeti göz önüne alındığında, güçlü bir şekilde çalışıyoruz. acil eylem tavsiye ederim.”
Bu güvenlik açıklarından etkilenen VMware ürünlerinin tam listesi şunları içerir:
- VMware Workspace ONE Erişimi (Erişim)
- VMware Workspace ONE Erişim Bağlayıcısı (Erişim Bağlayıcısı)
- VMware Kimlik Yöneticisi (vIDM)
- VMware Identity Manager Bağlayıcı (vIDM Bağlayıcı)
- VMware vRealize Otomasyonu (vRA)
- VMware Bulut Vakfı
- vRealize Suite Yaşam Döngüsü Yöneticisi
VMware, çoğu güvenlik tavsiyesine genellikle aktif kullanımla ilgili bir not eklese de, bugünün VMSA-2022-0021 tavsiyesinde bu tür bilgileri içermiyordu.
VMware, bilgi bankası web sitesinde yama indirme bağlantıları ve ayrıntılı kurulum talimatları sağlar.
Geçici çözüm mevcut
Şirket ayrıca cihazlarını CVE-2022-31656’ya karşı hemen yamalayamayan müşteriler için geçici bir çözüm sunuyor.
VMware tarafından detaylandırılan adımlar, yöneticilerin, sağlanan bir yönetici dışındaki tüm kullanıcıları devre dışı bırakmasını ve ufuk-çalışma alanı hizmetini yeniden başlatmak için SSH aracılığıyla oturum açmasını gerektirir.
Ancak VMware, bu geçici çözümün kullanılmasını önermez ve CVE-2022-31656 auth bypass kusurunu tamamen gidermenin tek yolunun savunmasız ürünlere yama yapmak olduğunu söyler.
VMware, “Güvenlik açıklarını ortamınızdan kaldırmanın tek yolu, VMSA-2022-0021’de sağlanan yamaları uygulamaktır. Geçici çözümler uygun olsa da, güvenlik açıklarını kaldırmaz ve hemen hemen her zaman, yamanın kaldırmayacağı ek karmaşıklıklar getirir,” diye ekledi.
“Geçici çözümü yamalama veya kullanma kararı size ait olsa da, VMware bu tür sorunları çözmenin en basit ve en güvenilir yolu olarak yama uygulamasını her zaman şiddetle tavsiye eder.”
Şirket ayrıca, bugün yamalanan kritik hatayla ilgili soru ve cevapların bir listesini içeren bir destek belgesi de sağlıyor.
Mayıs ayında VMware, Workspace ONE Access, VMware Identity Manager (vIDM) ve vRealize Automation’da Innotec Security’den Bruno López tarafından bulunan neredeyse aynı kritik güvenlik açığını, başka bir kimlik doğrulama atlama hatasını (CVE-2022-22972) yamaladı.