據(jù)Bleeping Computer消息，VMware于10月11日通知客戶，vCenter Server 8.0（最新版本）仍在等待補丁來解決 2021 年 11 月披露的高嚴重性特權(quán)提升漏洞。

該安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA（集成 Windows 身份驗證）機制中發(fā)現(xiàn)，影響范圍涉及到了 VMware 的 Cloud Foundation 混合云平臺部署，具有非管理訪問權(quán)限的攻擊者可以利用漏洞，在未打補丁的服務(wù)器上將權(quán)限提升到更高權(quán)限組。

VMware 表示，只有使用與目標服務(wù)器相鄰的向量網(wǎng)絡(luò)的攻擊者才能利用此漏洞作為高復(fù)雜性攻擊的一部分，該攻擊需要低權(quán)限且無需用戶交互（但是NIST NVD 的 CVE-2021-22048 條目表示它可以遠程利用低復(fù)雜性攻擊）。

盡管如此，VMware 仍將該漏洞的嚴重性評估為“重要”， 這意味著通過用戶協(xié)助或經(jīng)過驗證的攻擊者能利用漏洞泄露用戶數(shù)據(jù)。

公司曾在 2022 年 7 月發(fā)布安全更新，但僅解決了當時運行最新可用版本（vCenter Server 7.0 Update 3f）的服務(wù)器漏洞，即便如此，該補丁也在發(fā)布 11 天后被撤回，因為它沒有修復(fù)漏洞并導(dǎo)致 Secure打補丁時令牌服務(wù) （vmware-stsd） 崩潰。

補丁發(fā)布之前的解決方法

盡管所有受影響產(chǎn)品都還在苦苦等待補丁的到來，但 VMware 提供了一種解決方法，允許管理員刪除攻擊媒介。

為了阻止攻擊嘗試，VMware 建議管理員從受影響的集成 Windows 身份驗證 （IWA） 切換到 Active Directory over LDAPs 身份驗證或 AD FS 身份提供程序聯(lián)合身份驗證（僅限 vSphere 7.0）。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<