信息來源：安全內參

VMware 提醒客戶稱，vCenter Server 8.0（最新版本）仍然未修復早在2021年11月就已發(fā)現(xiàn)的一個高危漏洞（CVE-2022-22048）。

該漏洞是由CrowdStrike 公司的研究員在vCenter Server的IWA（集成Windows認證）機制中發(fā)現(xiàn)的，它還影響 VMware的Cloud Foundation 混合云平臺部署。

具有非管理員權限的攻擊者可利用該漏洞，在未修復服務器上，將權限提升至更高的權限組。

VMware 表示攻擊者僅可使用鄰近目標服務器的向量網(wǎng)絡利用該漏洞，發(fā)動低權限且無需用戶交互的高復雜性攻擊（然而，NIST旗下NVD表示可遭遠程利用，發(fā)動低復雜度攻擊）。

盡管如此，VMware 將該漏洞的嚴重性評級為“重要”，意味著“利用可導致用戶數(shù)據(jù)和/或通過用戶協(xié)助或認證攻擊者處理資源的機密性和/或完整性遭完全攻陷”。

盡管VMware 在2022年7月已發(fā)布安全更新，但僅解決了運行當時最新發(fā)布 (vCenter Server 7.0 Update 3f) 中的漏洞，不過11天后，由于補丁無法修復該漏洞且導致安全令牌服務 (vmware-stsd)在修復過程中崩潰而被放棄。

VMware 發(fā)布安全公告指出，“VMware 認為響應矩陣中提到的 vCenter 7.0u3f 更新并未解決CVE-2021-22048，并引入功能問題。”

緩解措施已發(fā)布

盡管尚不存在針對所有受影響產(chǎn)品的補丁，但VMware提供了緩解措施，可使管理員移除該攻擊向量。

要攔截攻擊嘗試，VMware建議管理員從IWA轉向 Active Directory over LDAPs 認證或者Identity Provider Federation for AD FS （僅限vSphere 7.0）。

VMware公司解釋稱，“Active Directory over LDAP認證并不受該漏洞影響。然而，VMware 強烈建議客戶轉向另一種認證方法。Active Directory over LDAP并不理解域信任，因此轉向該方法的客戶必須為所信任的每個域名配置唯一的身份源。Identity Provider Federation for AD FS沒有這種限制。”

VMware 提供了相關更改指南。