安全通告
近日,奇安信CERT监测到VMware官方修复了VMware vRealize Log Insight 中存在的多个安全漏洞,包括:
-
CVE-2022-31711 VMware vRealize Log Insight 信息泄露漏洞
-
CVE-2022-31704 VMware vRealize Log Insight 远程代码执行漏洞
-
CVE-2022-31706 VMware vRealize Log Insight 目录穿越漏洞
未经身份认证的远程攻击者可组合利用这些漏洞在目标系统上以 ROOT 权限执行任意代码。目前已监测到这三个漏洞细节及PoC公开,奇安信CERT已成功复现此漏洞利用链。鉴于这些漏洞影响较大,建议客户尽快做好自查及防护。
本次更新内容:
漏洞名称 |
VMware vRealize Log Insight信息泄露漏洞 |
||
公开时间 |
2023-01-26 |
更新时间 |
2023-01-29 |
CVE编号 |
CVE-2022-31711 |
其他编号 |
QVD-2023-2820 |
威胁类型 |
信息泄露 |
技术类型 |
信息暴露 |
厂商 |
VMware |
产品 |
vRealize Log Insight |
风险等级 |
|||
奇安信CERT风险评级 |
风险等级 |
||
中危 |
蓝色(一般事件) |
||
现时威胁状态 |
|||
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
已公开 |
未知 |
未知 |
已公开 |
漏洞描述 |
VMware vRealize Log Insight 中存在信息泄露漏洞。未经身份验证的远程攻击者可利用此漏洞收集敏感会话和应用程序信息。 |
||
影响版本 |
VMware vRealize Log Insight 8.x < 8.10.2 VMware Cloud Foundation (VMware vRealize Log Insight) 4.x VMware Cloud Foundation (VMware vRealize Log Insight) 3.x |
||
不受影响版本 |
VMware vRealize Log Insight 8.x >= 8.10.2 |
||
其他受影响组件 |
无 |
漏洞名称 |
VMware vRealize Log Insight远程代码执行漏洞 |
||
公开时间 |
2023-01-26 |
更新时间 |
2023-01-29 |
CVE编号 |
CVE-2022-31704 |
其他编号 |
QVD-2023-2817 |
威胁类型 |
代码执行 |
技术类型 |
访问控制错误 |
厂商 |
VMware |
产品 |
vRealize Log Insight |
风险等级 |
|||
奇安信CERT风险评级 |
风险等级 |
||
高危 |
蓝色(一般事件) |
||
现时威胁状态 |
|||
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
已公开 |
未知 |
未知 |
已公开 |
漏洞描述 |
VMware vRealize Log Insight中存在访问控制问题。未经身份验证的远程攻击者可以将代码注入受影响设备的敏感文件中,从而在目标系统上执行任意代码。 |
||
影响版本 |
VMware vRealize Log Insight 8.x < 8.10.2 VMware Cloud Foundation (VMware vRealize Log Insight) 4.x VMware Cloud Foundation (VMware vRealize Log Insight) 3.x |
||
不受影响版本 |
VMware vRealize Log Insight 8.x >= 8.10.2 |
||
其他受影响组件 |
无 |
|
VMware vRealize Log Insight 目录穿越漏洞 |
||
公开时间 |
2023-01-26 |
更新时间 |
2023-01-29 |
CVE编号 |
CVE-2022-31706 |
其他编号 |
QVD-2023-2818 |
威胁类型 |
代码执行 |
技术类型 |
目录穿越 |
厂商 |
VMware |
产品 |
vRealize Log Insight |
风险等级 |
|||
奇安信CERT风险评级 |
风险等级 |
||
高危 |
蓝色(一般事件) |
||
现时威胁状态 |
|||
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
已公开 |
未知 |
未知 |
已公开 |
漏洞描述 |
VMware vRealize Log Insight 中存在目录穿越漏洞。未经身份验证的远程攻击者可利用此漏洞向目标系统写入恶意文件,从而在目标系统上执行任意代码。 |
||
影响版本 |
VMware vRealize Log Insight 8.x < 8.10.2 VMware Cloud Foundation (VMware vRealize Log Insight) 4.x VMware Cloud Foundation (VMware vRealize Log Insight) 3.x |
||
不受影响版本 |
VMware vRealize Log Insight 8.x >= 8.10.2 |
||
其他受影响组件 |
无 |
目前奇安信CERT已成功复现VMware vRealize Log Insigh多个高危漏洞,截图如下:
漏洞名称 |
VMware vRealize Log Insight信息泄露漏洞 |
|||
CVE编号 |
CVE-2022-31711 |
其他编号 |
QVD-2023-2820 |
|
CVSS 3.1评级 |
中危 |
CVSS 3.1分数 |
5.3 |
|
CVSS向量 |
访问途径(AV) |
攻击复杂度(AC) |
||
网络 |
低 |
|||
所需权限(PR) |
用户交互(UI) |
|||
无 |
不需要 |
|||
影响范围(S) |
机密性影响(C) |
|||
不改变 |
低 |
|||
完整性影响(I) |
可用性影响(A) |
|||
无 |
无 |
|||
危害描述 |
未经身份验证的远程攻击者可利用此漏洞收集敏感会话和应用程序信息。 |
|||
漏洞名称 |
VMware vRealize Log Insight远程代码执行漏洞 |
|||
CVE编号 |
CVE-2022-31704 |
其他编号 |
QVD-2023-2817 |
|
CVSS 3.1评级 |
高危 |
CVSS 3.1分数 |
9.8 |
|
CVSS向量 |
访问途径(AV) |
攻击复杂度(AC) |
||
网络 |
低 |
|||
所需权限(PR) |
用户交互(UI) |
|||
无 |
不需要 |
|||
影响范围(S) |
机密性影响(C) |
|||
不改变 |
高 |
|||
完整性影响(I) |
可用性影响(A) |
|||
高 |
高 |
|||
危害描述 |
未经身份验证的远程攻击者可以将代码注入受影响设备的敏感文件中,从而在目标系统上执行任意代码。 |
|||
漏洞名称 |
VMware vRealize Log Insight 目录穿越漏洞 |
|||
CVE编号 |
CVE-2022-31706 |
其他编号 |
QVD-2023-2818 |
|
CVSS 3.1评级 |
高危 |
CVSS 3.1分数 |
9.8 |
|
CVSS向量 |
访问途径(AV) |
攻击复杂度(AC) |
||
网络 |
低 |
|||
所需权限(PR) |
用户交互(UI) |
|||
无 |
不需要 |
|||
影响范围(S) |
机密性影响(C) |
|||
不改变 |
高 |
|||
完整性影响(I) |
可用性影响(A) |
|||
高 |
高 |
|||
危害描述 |
未经身份验证的远程攻击者可利用此漏洞向目标系统写入恶意文件,从而在目标系统上执行任意代码。 |
|||
版本升级:
缓解方案:
奇安信自动化渗透测试系统产品解决方案
奇安信自动化渗透测试系统在第一时间加入了该漏洞的插件规则和指纹规则,请将插件版本和指纹版本升级到20230202183000版本。规则名称:VMware vRealize Log Insight 远程命令执行漏洞,插件版本:20230202183000,指纹版本:20230202183000。奇安信自动化渗透测试系统升级方法:系统管理->升级管理->插件升级(指纹升级),选择“网络升级”或“本地升级”。
奇安信天眼检测方案
奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0201.13720或以上版本。规则ID及规则名称:0x5f7a,VMware vRealize Log Insight 远程代码执行漏洞。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7707,建议用户尽快升级检测规则库至2302011800以上;
[1]https://www.vmware.com/security/advisories/VMSA-2023-0001.html
2023年1月29日,奇安信 CERT发布安全风险通告;
2023年2月1日,奇安信 CERT发布安全风险通告第二次更新。
原文始发于微信公众号(奇安信 CERT):【已复现】VMware vRealize Log Insight多个高危漏洞安全风险通告第二次更新
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论