December 3, 2022

VMware แก้ไขช่องโหว่ร้ายแรงสามรายการ สาเหตุร้ายในการทะลุระบบการยืนยันตัวตนได้แล้ว

VMware ปล่อยตัวอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ร้ายแรงสามรายการในโซลูชั่น Workspace ONE Assist ที่เปิดให้ผู้โจมตีจากภายนอกก้าวข้ามการยืนยันตัวตน พร้อมยกระดับสิทธิ์ตัวเองขึ้นเป็นแอดมินได้

Workspace ONE Assist ใช้ทั้งการควบคุมระยะไกล, แชร์หน้าจอ, จัดการไฟล์ระบบ, และรันคำสั่งจากระยะไกล เพื่ออำนวยความสะดวกแก่ฝ่ายซัพพอร์ตและเจ้าหน้าที่ไอทีในการเข้าถึงระยะไกล และแก้ปัญหาอุปกรณ์แบบเรียลไทม์จากหน้าคอนโซล

ช่องโหว่ทั้งหมดนี้ได้แก่รหัส CVE-2022-31685 (ช่องโหว่ข้ามการยืนยันตัวตน), CVE-2022-31686 (ช่องโหว่ในขั้นตอนการยืนยันตัวตน), และ CVE-2022-31687 (ช่องโหว่ในการควบคุมการยืนยันตัวตน) ทั้งหมดนี้ได้คะแนนความร้ายแรงสูงสุดถึง 9.8 เต็ม 10 ตามสเกล CVSS

โดยผู้โจมตีไม่ต้องล็อกอินก็สามารถใช้เข้าระบบได้ด้วยการโจมตีง่ายๆ ไม่ต้องอาศัยความร่วมมือจากผู้ใช้ในการยกระดับสิทธิ์เลย แพ็ตช์ที่อัปเดตครั้งนี้มาในเวอร์ชั่นใหม่ Workspace ONE Assist 22.10 (89993) สำหรับลูกค้าวินโดวส์ พร้อมกับการอุดช่องโหว่ XSS ภายใต้รหัส CVE-2022-31688 ด้วย

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer