VMware統(tǒng)一端點管理控制臺(Workspace ONE UEM)中存關鍵服務器端請求偽造(SSRF)漏洞，該漏洞CVSSv3評分9.1/10，VMware官方認定屬于高危漏洞。

此漏洞跟蹤為CVE-2021-22054，是一個服務器端請求偽造 (SSRF) 漏洞，影響多個ONE UEM控制臺版本，VMware已經(jīng)發(fā)布針對性安全補丁。

具有UEM網(wǎng)絡訪問權限的攻擊者可以利用該漏洞訪問管理控制臺中的敏感數(shù)據(jù)，攻擊者可以通過向易受攻擊的軟件發(fā)送未經(jīng)身份驗證的請求，可以在低復雜度的攻擊中遠程利用此漏洞，而無需用戶交互。

“VMware Workspace ONE UEM控制臺包含一個服務器端請求偽造(SSRF)漏洞。VMware已評估此問題的嚴重性處于“危急”嚴重性范圍內，最高CVSSv3 基本分數(shù)為9.1?！? VMware發(fā)布的分析公告對此描述?！熬哂蠻EM網(wǎng)絡訪問權限的惡意行為者可以在未經(jīng)身份驗證的情況下發(fā)送他們的請求，并可能利用此問題來訪問敏感信息?！?/span>

都能涉敏了那么很快應該會被利用嘍?!畢竟沒打補丁的會有很多，因此本文目的只為傳遞給更多用戶，督促速度修復漏洞。

以下是受影響的版本列表：

可用的解決方法

如果您無法立即部署上表中的修補版本之一，VMware還提供短期緩解措施來阻止利用嘗試。臨時解決方法要求您按照下面的網(wǎng)址概述的步驟編輯UEM web.config文件，并重新啟動已應用此解決方法的所有服務器實例。VMware還提供了驗證該變通辦法能否成功阻止使用CVE-2021-22054漏洞利用的攻擊的步驟。

當前不在修補版本上的本地環(huán)境的短期緩解措施：

1、識別環(huán)境中安裝了 UEM Console 應用程序的所有 Windows 服務器

2、使用遠程桌面或物理訪問獲取對服務器的管理員級別訪問權限。

3、使用您喜歡的文本編輯器修補Workspace ONE UEM文件。該文件默認位于{Install-Drive}\AirWatch\Default Website文件夾中。注意：可以有多個system.webServer部分。請按照下面的xpath了解需要應用更改的確切位置。添加以下重寫規(guī)則的rules值：

(xpath: /configuration/system.webServer/rewrite/rules)

注意：在環(huán)境中安裝了UEM控制臺應用程序的每臺Windows服務器上重復此操作。

保存上述更改后重新啟動 IIS。使用變通方法修補所有服務器實例后，繼續(xù)執(zhí)行“如何驗證變通方法”。如果配置文件沒有system.webServer部分，以下是完整部分的示例：

如何驗證解決方法

當請求具有“url”查詢參數(shù)時，解決方法是阻止對 BlobHandler.ashx 端點的任何訪問。應用變通方法后，任何具有阻止模式的請求都應導致 404 Not Found 響應。要測試解決方法，請打開瀏覽器并導航到以下網(wǎng)址

響應應顯示 ：404 Not Found

注意：如果您的服務器配置為根據(jù)404響應自動重定向，您可能會看到重定向到控制臺登錄頁面。

更改的影響與變通方法

■ 應用程序圖標不會顯示在用于搜索公共應用程序的控制臺屏幕上。

■ IIS 重置將導致登錄到正在修補服務器實例的管理員注銷。管理員應該能夠在不久之后重新登錄。

■ 不會對受管設備產(chǎn)生影響

VMware管理員們迅速修補Workspace ONE UEM中此高危漏洞。

我們在此敦促中國VMware管理員們應迅速修補Workspace ONE UEM中此高危漏洞，畢竟威脅參與者可能會濫用該漏洞來訪問敏感信息。

目前美國網(wǎng)絡安全和基礎設施安全局(CISA)發(fā)布公告敦促用戶積極修復。

公告地址：

https://www.vmware.com/security/advisories/VMSA-2021-0029.html

修復方法：

https://kb.vmware.com/s/article/87167

來源：紅數(shù)位