VMware Workspace ONE Access 等產(chǎn)品存在多個安全漏洞

（ CVE- - 2022- - 22972/CVE- - 2022- - 22973 ）

一、預警背景描述

2022 年 5 月 18 日，VMware 發(fā)布安全公告，修復了兩個存在于 VMware Workspace ONE Access (Access)、VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud、Foundation、vRealize Suite Lifecycle Manager 中的安全漏洞，分別為：VMware 身份驗證繞過漏洞（CVE-2022-22972）、VMware 權限提升漏洞（CVE-2022-22973）。

二、預警描述

Workspace ONE Access 是 VMware 公司開發(fā)的一款智能驅(qū)動型數(shù)字化工作空間平臺，通過 Workspace ONE Access 能夠隨時隨地在任意設備上輕松、安全地交付和管理任意應用。

Workspace ONE Access、Identity Manager 及 vRealizeAutomation 中存在身份驗證繞過漏洞，可訪問其 UI 的攻擊者無需身份驗證即可通過該漏洞獲取管理權限。

VMware Workspace ONE Access 、Identity Manager 中存在權限提升漏洞，具有本地訪問權限的攻擊者可以將權限提升到“root”。

漏洞危害攻擊者成功利用上述漏洞可實現(xiàn)繞過和提權。

三、受影響范圍

VMware Cloud Foundation 4.3.x、3.x、4.2.x、4.1、4.0.x

VMware Workspace One Access 21.08.0.1 、 21.08.0.0 、

20.10.0.1、20.10.0.0

VMware Identity Manager 3.3.6、3.3.5、3.3.4、3.3.3

VMware vRealize Automation 7.6

vRealize Suite Lifecycle Manager 8.x

四、修復建議

官方已發(fā)布安全補丁，建議相關用戶盡快自查并采取安全措施。