8个月后，VMware 终于开始修复这个 vCenter 服务器缺陷

CVE-2021-22048 如遭成功利用，可使对vCenter Server 部署具有非管理员访问权限的攻击者将权限提升至更高级别。

VMware 公司指出，攻击者可从和目标服务器同样的物理或逻辑网络实施利用，发动更复杂的攻击，且只需低权限而无需用户交互。不过，NIST NVD的相关条目指出可在低复杂度的攻击中实施远程利用。

尽管如此，VMware 将该漏洞评级为“重要”级别，意味着“利用可导致用户数据的机密性和/或完整性遭完全攻陷，以及/或者可导致处理通过用户协助或认证攻击者的资源。”

虽然CVE-2021-22048影响多个 vCenter 服务器版本（即6.5、6.7和7.0），但该公司今天仅发布 vCenter Server 7.0 Update 3f，仅能解决运行最新可使用发布服务器中的漏洞。

好在，尽管上不存在针对其它版本的补丁，但VMware 已在8个月前即2021年11月10日首次发布安全公告时就提供了删除该攻击向量的应变措施。

为拦截攻击尝试，VMware 建议管理员从IWA转向通过LDAPs 的活动目录认证或AD FS 的 Identity Provider Federation（仅限 vSphere 7.0）。该公司表示，“通过LDAP认证的活动目录并不受该漏洞影响。然而，VMware 强烈建议客户迁移至其它认证方法。通过LDAP认证的活动目录并不了解域信任，因此转向该方法的客户将不得不为所信任的域名配置唯一的身份资源。而Identity Provider Federation for AD FS 并没有这类限制。”

https://www.bleepingcomputer.com/news/security/vmware-patches-vcenter-server-flaw-disclosed-in-november/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~