به گزارش کارگروه امنیت سایبربان؛ آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) امروز از ادمین ها و کاربران VMware خواست تا یک آسیب پذیری امنیتی جدی در ابزار Workplace ONE UEM را اصلاح کنند. بازیگران مخرب می توانند با سوء استفاده از این آسیب پذیری، به اطلاعات حساسی دسترسی پیدا کنند.
ONE UEM یک راهکار VMware برای مدیریت راه دور دسکتاپ ها، موبایل ها، پوشیدنی ها و دستگاه های مبتنی بر اینترنت اشیاء است.
این نقص امنیتی (CVE-2021-22054) یک آسیب پذیری جعل درخواست سمت سرور با نمره شدت 9.1 از 10 است که چندین نسخه از کنسول ONE UEM را تحت الشعاع قرار می دهد.
بازیگران مخرب می توانند با حملاتی غیر پیچیده و بدون دخالت کاربر از این آسیب پذیری بهره برداری کنند.
شرکت VMware گفت:
یک بازیگر مخرب با دسترسی شبکه به UEM می تواند بدون احراز هویت درخواست خود را ارسال و با بهره برداری از این نقص، به اطلاعات حساس دسترسی پیدا کند.
CISA به تمامی مدیران و کاربران توصیه می کند تا توصیه های امنیتی VMware را مورد بازبینی قرار دهند و اقدامات لازم برای رفع آن ها را عملی کنند.
نسخه های تحت الشعاع قرار گرفته عبارتند از:
- نسخه 2109
- نسخه 2105
- نسخه 2102
- نسخه 2101
- نسخه 2011
- نسخه 2010
- نسخه 2008
- نسخه 2007
نسخه های اصلاح شده عبارتند از:
- Workspace ONE UEM patch 21.9.0.13 و بالاتر
- Workspace ONE UEM patch 21.5.0.37 و بالاتر
- Workspace ONE UEM patch 21.2.0.27 و بالاتر
- Workspace ONE UEM patch 21.1.0.27 و بالاتر
- Workspace ONE UEM patch 20.11.0.40 و بالاتر
- Workspace ONE UEM patch 20.10.0.23 و بالاتر
- Workspace ONE UEM patch 20.7.0.17 و بالاتر
