VMware 日前發布資安通報,要求使用該公司各項軟體系統的管理者,立即進行軟體更新,以修復一個可以繞過身分驗證的嚴重資安漏洞。
這個漏洞的 CVE 編號為 CVE-2022-31656,由資安廠商 VNG Security 旗下的研究人員 Petrus Viet 發現,影響遍及 VMware Workspace ONE Access、Indentity Manager、vRealize Automation 等產品。
該漏洞屬於身分驗證繞過漏洞,駭侵者可利用該漏洞跳過系統的登入驗證程序,在未經授權的情形下進入系統,並可取得系統管理員權限。該漏洞的 CVSS 漏洞危險程度評分高達 9.8 分(滿分為 10 分),其漏洞危險程度評級列為最高的「嚴重」(Critical) 等級。
該公司指出,系統管理員必須依照 VMSA 的指示,立即修補或處理該漏洞。
除了 CVE-2022-31656 外,VMware 同時也修補多個資安漏洞,包括可導致駭侵者遠端執行任意程式碼的 CVE-2022-31658、CVE-2022-31659、CVE-2022-31665),以及可讓駭侵者取得 root 權限的 CVE-2022-31660、CVE-2022-31661、CVE-2022-31664 等。
VMware 指出,如果單位採用 ITIL 進行變更管理,則這些修補會被視為「緊急變更」。
建議使用上述 VMware 產品的用戶,應立即依指示更新系統,修補上述漏洞,以免遭到駭侵者利用尚未修補完成的漏洞發動攻擊。
- CVE編號:CVE-2022-31656 等
- 影響產品(版本):VMware Workspace ONE Access、Indemtity Manager、vRealize Automation 等產品。
- 解決方案:依照 VMSA 的指示,立即修補或處理該漏洞。
本文轉載自TWCERT/CC。