[Warning] Kritische Authentication-Bypass Schwachstelle in mehreren VMware Produkten - Updates und Workarounds verfügbar
Robert Waldner
waldner at cert.at
Thu May 19 16:40:45 CEST 2022
19. Mai 2022
Beschreibung
Mehrere VMware Produkte weisen eine Schwachstelle auf, die das Umgehen der
Authentifizierung des Management User-Interfaces erlaubt.
CVE-Nummer: CVE-2022-22972
CVSS Base Score: 9.8
Die aktuellen Updates beheben außerdem die Schwachstelle CVE-2022-22973 (Local
Privilege Escalation) mit einem CVSS Score von 7.8.
Auswirkungen
Angreifer:innen können durch Ausnützen der Schwachstelle ohne gültige
Zugangsdaten auf erreichbare Management User-Interfaces zugreifen und
potentiell das gesamte System übernehmen. Da bald mit aktiven Angriffen auf
die Schwachstelle zu rechnen ist, sollten die Updates so schnell wie möglich
eingespielt werden.
Betroffene Systeme
- VMware Workspace ONE Access (Access) Versionen 20.10.0.0, 20.10.0.1,
21.08.0.0, 21.08.0.1 (Linux)
- VMware Identity Manager (vIDM) Versionen 3.3.3, 3.3.4, 3.3.5, 3.3.6
- VMware vRealize Automation (vRA) Version 7.6
- VMware Cloud Foundation Versionen 3.x, 4.0.x, 4.1.x, 4.2, 4.3.x
- vRealize Suite Lifecycle Manager Version 8.x
Abhilfe
Einspielen der verfügbaren Updates oder Workarounds.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei
insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen
sicher, dass diese auch zeitnah aktiviert werden.
________________________________________________________________________
Informationsquelle(n):
VMware Advisory (Englisch)
https://www.vmware.com/security/advisories/VMSA-2022-0014.html
FAQs zum VMware Advisory (Englisch)
https://core.vmware.com/vmsa-2022-0014-questions-answers-faq
heise-Artikel
https://www.heise.de/news/Attacken-auf-VMware-Sicherheitsluecken-Jetzt-updaten-7099531.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der CERT.at GmbH
// https://cert.at/ - Firmenbuchnummer 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20220519/dc139290/attachment.sig>
More information about the Warning
mailing list