یازدهم مرداد ماه شرکت ویامور (.VMware, Inc) با انتشار توصیهنامه امنیتی VMSA-2022-0021 نسبت به ترمیم چند ضعف امنیتی که یک مورد آن (CVE-2022-31656) دارای درجه اهمیت «حیاتی» میباشد، هشدار داده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، جزییات این توصیهنامه مورد بررسی قرار گرفته است.
اصلاحیههای عرضه شده، انواع مختلفی از آسیبپذیریها را در محصولات ویامور زیر برطرف میکنند:
- VMware Workspace ONE Access (Access)
- VMware Workspace ONE Access Connector (Access Connector)
- VMware Identity Manager (vIDM)
- VMware Identity Manager Connector (vIDM Connector)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager (vIDM)
ضعف امنیتی CVE-2022-31656 دارای درجه شدت 9.8 (بر طبق استاندارد CVSS) میباشد. بنا بر توصیهنامه امنیتی که این شرکت در روز سه شنبه 11 مرداد 1401 منتشر نموده، آسیب پذیری CVE-2022-31656، محصولاتی نظیر VMware Workspace ONE Access ،Identity Manager و vRealize Automation را تحت تاثیر قرار میدهد. این دومین آسیبپذیری از نوع دورزدن احراز هویت (Bypass Authentication) در کمتر از سه ماه اخیر میباشد.
مهاجم با دسترسی به شبکه و رابط کاربری محصولات مذکور میتواند با دورزدن احراز هویت (Bypass Authentication) کاربران، به طور بالقوه دسترسی مدیریتی کسب نموده و به سطح دسترسی بالا دست یابد.
این شرکت در توضیحات تکمیلی خود، هشدار داده که همه مشتریانی که از محصولات آسیبپذیر استفاده میکنند ممکن است در معرض خطر باشند.
لذا از آنجایی که محصولات این شرکت به طور گسترده در زیرساختهای سازمانی و دولتی مورد استفاده قرار میگیرد توصیه اکید میشود با مراجعه به نشانی زیر در اسرع وقت بروزرسانیهای ارائه شده اعمال گردد تا از هرگونه سوءاستفاده پیشگیری شود.
https://www.vmware.com/security/advisories/VMSA-2022-0021.html
منابع:
https://thehackernews.com/2022/08/vmware-releases-patches-for-several-new.html