CISA Khuyến Cáo quản trị viên VMware vá lỗ hổng nghiêm trọng trong Workspace ONE UEM aka CVE-2021-22054

CISA đã yêu cầu quản trị viên và người dùng VMware nhanh chóng vá một lỗ hổng bảo mật quan trọng được tìm thấy trong bảng điều khiển Workspace ONE UEM mà các tác nhân đe dọa hay Hacker có thể lạm dụng để truy cập vào thông tin nhạy cảm.

Workspace ONE Unified Endpoint Management (ONE UEM)  là một giải pháp từ VMware để quản lý từ xa qua mạng của máy tính để bàn, thiết bị di động, thiết bị đeo và IoT.

CVE-2021-22054  là lỗ hổng bảo mật giả mạo yêu cầu phía máy chủ (SSRF) với xếp hạng mức độ nghiêm trọng là 9,1 / 10 và ảnh hưởng đến nhiều phiên bản bảng điều khiển ONE UEM.

Các tác nhân đe dọa chưa được xác thực có thể khai thác lỗ hổng này từ xa trong các cuộc tấn công có độ phức tạp thấp mà không cần sự tương tác của người dùng.

“Một kẻ độc hại có quyền truy cập mạng vào UEM có thể gửi yêu cầu của họ mà không cần xác thực và có thể khai thác vấn đề này để truy cập thông tin nhạy cảm,” VMware giải thích trong một  tư vấn bảo mật  ban hành hôm thứ Năm.

“CISA khuyến khích người dùng và quản trị viên xem xét VMSA-2021-0029 của VMware Security Advisory VMSA-2021-0029 và áp dụng các biện pháp giảm thiểu cần thiết”, CISA  cho biết  hôm 19/20/2021.

Phiên bản bị ảnh hưởngPhiên bản cố định
2109Workspace ONE UEM patch 21.9.0.13 trở lên
2105Workspace ONE UEM patch 21.5.0.37 trở lên
2102Workspace ONE UEM patch 21.2.0.27 trở lên
2101Workspace ONE UEM patch 21.1.0.27 trở lên
2011Workspace ONE UEM patch 20.11.0.40 trở lên
2010Workspace ONE UEM patch 20.10.0.23 trở lên
2008Workspace ONE UEM patch 20.8.0.36 trở lên
2007Workspace ONE UEM patch 20.7.0.17 trở lên

Giải pháp thay thế có sẵn

VMware cũng cung cấp tính năng giảm thiểu ngắn hạn để chặn các nỗ lực khai thác nếu bạn không thể triển khai ngay một trong các phiên bản đã vá trong bảng trên.

Cách giải quyết tạm thời yêu cầu bạn chỉnh sửa tệp UEM web.config bằng cách làm theo các bước được nêu ở đây và khởi động lại tất cả các phiên bản máy chủ mà giải pháp này đã được áp dụng.

VMware cũng cung cấp các bước để xác nhận rằng giải pháp thay thế sẽ chặn thành công các cuộc tấn công bằng cách sử dụng khai thác CVE-2021-22054.

Để kiểm tra xem giải pháp thay thế có được áp dụng chính xác hay không, bạn phải mở trình duyệt web và điều hướng đến các URL này (bạn sẽ chỉ nhận được câu trả lời 404 Không tìm thấy):

https://[UEM Console URL]/airwatch/blobhandler.ashx?url=test
https://[UEM Console URL]/catalog/blobhandler.ashx?url=test
https://[UEM Console URL]/airwatch/blobhandler.ashx?param1=test&url=test
https://[UEM Console URL]/catalog/blobhandler.ashx?param1=test&url=test

“Thiết lập lại IIS sẽ khiến các quản trị viên đã đăng nhập vào phiên bản máy chủ được vá để đăng xuất. Quản trị viên sẽ có thể đăng nhập lại ngay sau đó”, VMware nói. Theo BPC

AT 3 EDU VN – CPENT MAG

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s