CISA, VMware yöneticilerinden ve kullanıcılarından, Workspace ONE UEM konsolunda bulunan ve tehdit aktörlerinin hassas bilgilere erişmek için kötüye kullanabilecekleri kritik bir güvenlik açığını düzeltmelerini istedi.
Workspace ONE Birleşik Uç Nokta Yönetimi (ONE UEM) masaüstü bilgisayarlar, mobil cihazlar, dayanıklı, giyilebilir cihazlar ve IoT cihazlarının kablosuz uzaktan yönetimi için bir VMware çözümüdür.
olarak izlenen kusur CVE-2021-22054 Önem derecesi 9.1/10 olan ve birden çok ONE UEM konsol sürümünü etkileyen bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığıdır.
Kimliği doğrulanmamış tehdit aktörleri, kullanıcı etkileşimi olmadan karmaşıklığı düşük saldırılarda bu güvenlik açığından uzaktan yararlanabilir.
VMware, “UEM’e ağ erişimi olan kötü niyetli bir aktör, isteklerini kimlik doğrulaması olmadan gönderebilir ve hassas bilgilere erişmek için bu sorundan yararlanabilir.” güvenlik danışmanlığı Perşembe günü yayınlandı.
“CISA, kullanıcıları ve yöneticileri VMware Güvenlik Danışmanlığı VMSA-2021-0029’u gözden geçirmeye ve gerekli azaltmayı uygulamaya teşvik ediyor,” CISA söz konusu bugün.
Geçici çözüm mevcut
VMware ayrıca, yukarıdaki tablodaki yamalı sürümlerden birini hemen dağıtamazsanız, istismar girişimlerini engellemek için kısa vadeli azaltma sağlar.
Geçici çözüm, belirtilen adımları izleyerek UEM web.config dosyasını düzenlemenizi gerektirir. burada ve bu geçici çözümün uygulandığı tüm sunucu örneklerinin yeniden başlatılması.
VMware ayrıca, geçici çözümün CVE-2021-22054 istismarlarını kullanarak saldırıları başarıyla engelleyeceğini doğrulamak için adımlar sağlar.
Geçici çözümün doğru bir şekilde uygulanıp uygulanmadığını test etmek için bir web tarayıcısı açmanız ve şu URL’lere gitmeniz gerekir (yalnızca 404 Bulunamadı yanıtı almalısınız):
https://[UEM Console URL]/airwatch/blobhandler.ashx?url=test
https://[UEM Console URL]/catalog/blobhandler.ashx?url=test
https://[UEM Console URL]/airwatch/blobhandler.ashx?param1=test&url=test
https://[UEM Console URL]/catalog/blobhandler.ashx?param1=test&url=test
VMware, “IIS sıfırlama, sunucu örneğinde oturum açmış yöneticilerin oturumu kapatmasına neden olur. Yöneticiler kısa bir süre sonra tekrar oturum açabilmelidir” diyor.