CISA 督促VMware 管理员修复Workspace ONE UEM 中的严重漏洞
编译:代码卫士
Workspace ONE UEM 是桌面、移动、固件、可穿戴设备和物联网设备的无线远程访问解决方案。该漏洞的编号为CVE-2021-22054,是一个服务器端请求伪造 (SSRF) 漏洞,CVSS评分为9.1,影响多个 ONE UEM 控制台版本。
未认证威胁行动者可远程利用该漏洞发动复杂度不高的攻击,无需用户交互。VMware 在安全公告中指出,“恶意人员如具有对UEM 的网络访问权限,则可在无需认证的情况下发送请求并可能利用该漏洞获得对敏感信息的访问权限。CISA 鼓励用户和管理员查看 VMware 安全公告 VMSA-2021-0029 并应用必要的缓解措施。”
受影响版本 | 已修复版本 |
2109 | Workspace ONE UEM patch 21.9.0.13及后续版本 |
2105 | Workspace ONE UEM patch 21.5.0.37 及后续版本 |
2102 | Workspace ONE UEM patch 21.2.0.27及后续版本 |
2101 | Workspace ONE UEM patch 21.1.0.27及后续版本 |
2011 | Workspace ONE UEM patch 21.1.0.27及后续版本 |
2010 | Workspace ONE UEM patch 21.1.0.27及后续版本 |
2008 | Workspace ONE UEM patch 20.11.0.40及后续版本 |
2007 | Workspace ONE UEM patch 20.10.0.23及后续版本 |
缓解措施
如用户无法立即部署以上提到的修复版本,VMware 还发布了短期缓解措施拦截利用尝试。
临时缓解措施要求用户按照所列步骤编辑 UEM web.config 文件,并在应用了该缓解措施的设备上重启所有服务器实例。
VMware 还给出了如何验证该缓解措施将成功拦截利用CVE-2021-22054 exploit 的攻击。要验证缓解措施是否正确应用,需要打开web 浏览器并当行之如下URL(应该只得到”404 Not Found” 的回应):
https://[UEM Console URL]/airwatch/blobhandler.ashx?url=testhttps://[UEM Console URL]/catalog/blobhandler.ashx?url=testhttps://[UEM Console URL]/airwatch/blobhandler.ashx?param1=test&url=testhttps://[UEM Console URL]/catalog/blobhandler.ashx?param1=test&url=testVMware 公司指出,“IIS 重置将导致已登录到已修复服务器实例的管理员等处。一段时间后管理员应该就可以再次登录。”
攻击者利用Python 勒索软件加密 VMware ESXi 服务器
速修复!VMware vCenter Server 所有版本受严重的 RCE 漏洞影响
VMware 修复可窃取管理员凭据的高危漏洞
VMware 修复 View Planner中的严重RCE 漏洞
https://www.bleepingcomputer.com/news/security/cisa-urges-vmware-admins-to-patch-critical-flaw-in-workspace-one-uem/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。