VMWare 相关组件介绍

VMWare Identity Manager （简称vIDM)是VMware开发的一套的身份管理系统。用户利用这套系统可以实现企业级应用的单点登录。利用这套系统可以在各种设备上访问企业在私有数据中心或者公有云平台上的应用或者数据。

漏洞分析

VMWare的多种产品存在命令注入漏洞，攻击者利用此漏洞可以在受影响主机上以管理员权限执行代码。

利用漏洞必须访问web端的管理界面，并且需要对TLS加密的管理接口进行基于身份验证的口令访问，使用强且唯一的口令可以降低被利用的可能性，但无法降低已产生的危害。如果web界面无法从公开网络中访问则风险进一步降低。该接口通常在8443端口上运行。由于服务器在安装时需要输入口令，因此没有已知的默认口令。

影响范围

【影响版本】

VMware Workspace ONE Access 20.01，20.10

VMware Identity Manager 3.3.1-3.3.3

VMware Identity Manager Connector 3.3.1-3.3.3

VMware Identity Manager Connector 19.03.0.0, 19.03.0.1

 

修复方案

VMWare已经发布了关于该漏洞的补丁，请按照以下方式修复：

1. 如果已经按照4.2中的方案进行操作，请访问https://kb.vmware.com/s/article/81731

执行还原操作。

2. 备份以下目录：

对于linux设备：

/ opt / vmware / horizon / workspace / webapps / cfg

/ opt / vmware / horizon / workspace / webapps / hc（不适用于20.01和20.10版本）

对于windows连接器：

“ INSTALLLOCATION \ opt \ vmware \ horizo​​n \ workspace \ webapps \ cfg”

“ INSTALLLOCATION \ opt \ vmware \ horizo​​n \ workspace \ webapps \ hc”

然后访问https://kb.vmware.com/s/article/81754获取补丁。

临时解决方案

通过修改VMWare相关的配置文件可以临时缓解此漏洞的影响，请执行以下步骤：

基于linux的设备：

1. 使用ssh连接到设备

2. 输入su切换到root用户并提供在安装过程中配置的root凭据

3. 运行以下命令：

cd /opt/vmware/horizon/workspace

mkdir webapps.tmp

mv webapps/cfg webapps.tmp

mv conf/Catalina/localhost/cfg.xml webapps.tmp

service horizon-workspace restart

对所有基于linux的设备重复以上步骤

基于windows的服务器：

1. 以管理员身份登录

2. 打开命令提示符窗口，运行以下命令：

net stop "VMwareIDMConnector"

cd \VMware\VMwareIdentityManager\Connector\opt\vmware\horizon\workspace

mkdir webappstmp

move webapps\cfg webappstmp

move conf\Catalina\localhost\cfg.xml webappstmp

net start "VMwareIDMConnector"

对所有基于windows的服务器重复此步骤。