據Bleeping Computer消息，VMware于10月11日通知客戶，vCenter Server 8.0（最新版本）仍在等待補丁來解決 2021 年 11 月披露的高嚴重性特權提升漏洞。

該安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA（集成 Windows 身份驗證）機制中發現，影響范圍涉及到了 VMware 的 Cloud Foundation 混合云平臺部署，具有非管理訪問權限的攻擊者可以利用漏洞，在未打補丁的服務器上將權限提升到更高權限組。

VMware 表示，只有使用與目標服務器相鄰的向量網絡的攻擊者才能利用此漏洞作為高復雜性攻擊的一部分，該攻擊需要低權限且無需用戶交互（但是NIST NVD 的 CVE-2021-22048 條目表示它可以遠程利用低復雜性攻擊）。

盡管如此，VMware 仍將該漏洞的嚴重性評估為“重要”， 這意味著通過用戶協助或經過驗證的攻擊者能利用漏洞泄露用戶數據。

公司曾在 2022 年 7 月發布安全更新，但僅解決了當時運行最新可用版本（vCenter Server 7.0 Update 3f）的服務器漏洞，即便如此，該補丁也在發布 11 天后被撤回，因為它沒有修復漏洞并導致 Secure打補丁時令牌服務 （vmware-stsd） 崩潰。

補丁發布之前的解決方法

盡管所有受影響產品都還在苦苦等待補丁的到來，但 VMware 提供了一種解決方法，允許管理員刪除攻擊媒介。

為了阻止攻擊嘗試，VMware 建議管理員從受影響的集成 Windows 身份驗證 （IWA） 切換到 Active Directory over LDAPs 身份驗證或 AD FS 身份提供程序聯合身份驗證（僅限 vSphere 7.0）。

更多信息可以來這里獲取==>>電子技術應用-AET<<