【误差通告】VMware vCenter Server IWA权限提升误差(CVE-2021-22048)

宣布时间 2021-11-11

0x00 误差概述

CVE     ID

CVE-2021-22048

时      间

2021-11-10

类      型

权限提升

等      级

高危

远程使用


影响规模


攻击重漂后

可用性

用户交互

 

所需权限

PoC/EXP


在野使用


 

0x01 误差详情

image.png

2021年11月10日,VMware宣布清静通告,果真了VMware vCenter Server IWA中的一个权限提升误差(CVE-2021-22048),该误差的CVSSv3评分为7.1。

vCenter Server是VMware的集中式管理适用程序,用于从一个集中的位置管理虚拟机、多个ESXi主机和所有相关组件。

该误差保存于vCenter Server的IWA(集成 Windows 身份验证)认证机制中,对vCenter Server具有非管理员会见权限的攻击者可以使用此误差将权限提升到更高权限的组。

 

影响规模

vCenter Server 6.7

vCenter Server 7.0

Cloud Foundation (vCenter Server) 3.x

Cloud Foundation (vCenter Server) 4.x

 

0x02 处置惩罚建议

现在VMware暂未宣布此误差的补丁,但VMware提供了该误差的修复计划:

将 SSO 身份源设置从集成 Windows 身份验证 (IWA) 切换到以下选项之一:

l  Active Directory over LDAPs 身份验证

l  AD FS 的身份提供者团结(仅限 vSphere 7.0)

注重:Active Directory over LDAP 身份验证不受此误差的影响,但该方法不明确域信任,以是改用这种要领的用户必需为每个受信任的域设置一个奇异的身份源。AD FS的身份提供者团结没有这个限制。

参考链接:

https://kb.vmware.com/s/article/86292

 

0x03 参考链接

https://www.vmware.com/security/advisories/VMSA-2021-0025.html

https://kb.vmware.com/s/article/86292

https://securityaffairs.co/wordpress/124465/security/vmware-vcenter-server-flaw.html?

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-11-11

首次宣布

 

0x05 关于耀世娱乐

耀世娱乐简介

耀世娱乐公司建设于1996年,并于2010年6月23日在深交所中小板正式挂牌上市,是海内最具实力的信息清静产品和清静管理平台、清静服务与解决计划的领航企业之一。

公司总部位于北京市中关村软件园,在天下各省、市、自治区设立分支机构六十多个,拥有笼罩天下的销售系统、渠道系统和手艺支持系统;并在华北、华东、西南和华南结构四大研发中心,划分为北京研发总部、上海研发中心、成都研发中心和广州研发中心。

多年来,耀世娱乐致力于提供具有国际竞争力的自主立异的清静产品和最佳实践服务,资助客户周全提升其IT基础设施的清静性和生产效能,为打造和提升国际化的民族信息清静工业领军品牌而不懈起劲。

 

关于耀世娱乐

耀世娱乐清静应急响应中心主要针对主要清静误差的预警、跟踪和分享全球最新的威胁情报和清静报告。

关注以下公众号,获取全球最新清静资讯:

image.png