امنیت

فناوری اطلاعات

November 11, 2023
10:28 شنبه، 20ام آبانماه 1402
کد خبر: 151483

آسیب‌پذیری Open Redirect در VMware

 
یک آسیب‌پذیری امنیتی با شناسه CVE-2023-20886 و شدت 8.8 در VMware   شناسایی شده است که امکان حمله open redirect را برای مهاجم فراهم می‌آورد. یک عامل مخرب مثلا یک پیوند مخرب ممکن است بتواند قربانی را به یک مهاجم هدایت کند و پاسخ SAML  او را برای ورود به عنوان کاربر قربانی بازیابی کند.
 
قبل از ورود به محیط کاری Workspace ONE UEM باید با داشتن URL Environment  و اعتبارنامه جهت ورود، وارد کنسول شد. پس از اینکه مرورگر  URL Environment کنسول را با موفقیت بارگیری کرد، می‌توان با استفاده از نام کاربری و رمز عبور ارائه شده توسط سرپرست Workspace ONE UEM  وارد سیستم شد. کنسول Workspace ONE UEM نام کاربری و نوع کاربر (SAML یا غیر SAML) را در حافظه پنهان مرورگر ذخیره می‌کند.
        – اگر کاربر SAML باشد، مدیر به ورود SAML هدایت می‌شود.
        – و اگر کاربر SAML نباشد، مدیر باید رمز عبور را وارد کند.
اگر کاربر به لینک مخرب هدایت شود، پاسخ SAML  او برای ورود توسط مهاجم بازیابی می‌شود.
 
این آسیب‌پذیری VMware Workspace ONE UEM console را تحت تأثیر قرار می‌دهد.
 
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء VMware Workspace ONE UEM console به نسخه‌های وصله ‌شده، به شرح زیر اقدام نمایند:
•    نسخه 2302 ارتقاء به 32.2.0.10
•    نسخه 2212 ارتقاء به 22.12.0.20
•    نسخه 2209 ارتقاء به 22.9.0.29
•    نسخه 2206 ارتقاء به 22.6.0.36
•    نسخه 2203 ارتقاء به 22.3.0.48
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.