VMware vRealize Log Insight多个高危漏洞安全通告

VMware VRealize Log Insight 是一个日志收集和分析的虚拟设备，使管理员能够收集、查看、管理和分析系统日志数据。Log Insight 使管理员能够管理基础架构、整合日志、监控vSphere和 IT 环境并对其进行故障排除，以及执行安全审计和合规性测试。

近日，奇安信CERT监测到VMware官方发布vRealize Log Insight 8.10.2版本，修复了vRealize Log Insight中的多个安全漏洞。包括：

未经身份认证的远程攻击者可组合利用这些漏洞在目标系统上以 ROOT 权限执行任意代码。目前，国外安全团队已发布博客，证实组合利用这些漏洞可控制目标系统，并表明将于下周公开这些漏洞细节及PoC。建议客户尽快做好自查及防护。

漏洞名称	VMware vRealize Log Insight信息泄露漏洞
公开时间	2023-01-26	更新时间	2023-01-29
CVE编号	CVE-2022-31711	其他编号	QVD-2023-2820
威胁类型	信息泄露	技术类型	信息暴露
厂商	VMware	产品	vRealize Log Insight
风险等级
奇安信CERT风险评级		风险等级
中危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未知	未知	未知	未知
漏洞描述	VMware vRealize Log Insight 中存在信息泄露漏洞。未经身份验证的远程攻击者可利用此漏洞收集敏感会话和应用程序信息。
影响版本	VMware vRealize Log Insight 8.x < 8.10.2 VMware Cloud Foundation (VMware vRealize Log Insight) 4.x VMware Cloud Foundation (VMware vRealize Log Insight) 3.x
不受影响版本	VMware vRealize Log Insight 8.x >= 8.10.2
其他受影响组件	无

漏洞名称	VMware vRealize Log Insight远程代码执行漏洞
公开时间	2023-01-26	更新时间	2023-01-29
CVE编号	CVE-2022-31704	其他编号	QVD-2023-2817
威胁类型	代码执行	技术类型	访问控制错误
厂商	VMware	产品	vRealize Log Insight
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未知	未知	未知	未知
漏洞描述	VMware vRealize Log Insight中存在访问控制问题。未经身份验证的远程攻击者可以将代码注入受影响设备的敏感文件中，从而在目标系统上执行任意代码。
影响版本	VMware vRealize Log Insight 8.x < 8.10.2 VMware Cloud Foundation (VMware vRealize Log Insight) 4.x VMware Cloud Foundation (VMware vRealize Log Insight) 3.x
不受影响版本	VMware vRealize Log Insight 8.x >= 8.10.2
其他受影响组件	无

漏洞名称	VMware vRealize Log Insight 目录穿越漏洞
公开时间	2023-01-26	更新时间	2023-01-29
CVE编号	CVE-2022-31706	其他编号	QVD-2023-2818
威胁类型	代码执行	技术类型	目录穿越
厂商	VMware	产品	vRealize Log Insight
风险等级
奇安信CERT风险评级		风险等级
高危		蓝色（一般事件）
现时威胁状态
POC状态	EXP状态	在野利用状态	技术细节状态
未知	未知	未知	未知
漏洞描述	VMware vRealize Log Insight 中存在目录穿越漏洞。未经身份验证的远程攻击者可利用此漏洞向目标系统写入恶意文件，从而在目标系统上执行任意代码。
影响版本	VMware vRealize Log Insight 8.x < 8.10.2 VMware Cloud Foundation (VMware vRealize Log Insight) 4.x VMware Cloud Foundation (VMware vRealize Log Insight) 3.x
不受影响版本	VMware vRealize Log Insight 8.x >= 8.10.2
其他受影响组件	无

威胁评估

漏洞名称	VMware vRealize Log Insight信息泄露漏洞
CVE编号	CVE-2022-31711	其他编号		QVD-2023-2820
CVSS 3.1评级	中危	CVSS 3.1分数		5.3
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	无		不需要
	影响范围（S）		机密性影响（C）
	不改变		低
	完整性影响（I）		可用性影响（A）
	无		无
危害描述	VMware vRealize Log Insight 中存在信息泄露漏洞。未经身份验证的远程攻击者可利用此漏洞收集敏感会话和应用程序信息。

漏洞名称	VMware vRealize Log Insight远程代码执行漏洞
CVE编号	CVE-2022-31704	其他编号		QVD-2023-2817
CVSS 3.1评级	高危	CVSS 3.1分数		9.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	无		不需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	VMware vRealize Log Insight 中存在访问控制问题。未经身份验证的远程攻击者可以将代码注入受影响设备的敏感文件中，从而在目标系统上执行任意代码。

漏洞名称	VMware vRealize Log Insight 目录穿越漏洞
CVE编号	CVE-2022-31706	其他编号		QVD-2023-2818
CVSS 3.1评级	高危	CVSS 3.1分数		9.8
CVSS向量	访问途径（AV）		攻击复杂度（AC）
	网络		低
	所需权限（PR）		用户交互（UI）
	无		不需要
	影响范围（S）		机密性影响（C）
	不改变		高
	完整性影响（I）		可用性影响（A）
	高		高
危害描述	VMware vRealize Log Insight 中存在目录穿越漏洞。未经身份验证的远程攻击者可利用此漏洞向目标系统写入恶意文件，从而在目标系统上执行任意代码。

处置建议

版本升级：

目前，官方已发布VMware vRealize Log Insight 8.10.2版本，建议受影响的用户尽快升级至安全版本。

VMware vRealize Log Insight 8.10.2下载链接：

https://docs.vmware.com/en/vRealize-Log-Insight/8.10.2/rn/vrealize-log-insight-8102-release-notes/index.html

VMware vRealize Log Insight 8.10.2 文档：

https://customerconnect.vmware.com/en/downloads/info/slug/infrastructure_operations_management/vmware_vrealize_log_insight/8_10_2

从 VMware Cloud Foundation 4.4 版开始，SDDC Manager不再管理 vRealize Log Insight的升级，使用VMware Cloud Foundation 4.4及以上版本的用户可参考以下链接进行版本升级：

https://kb.vmware.com/s/article/90668

缓解方案：

若无法立即升级至安全版本，可参考以下链接中的步骤缓解此漏洞：

https://kb.vmware.com/s/article/90635

参考资料

[1]https://www.vmware.com/security/advisories/VMSA-2023-0001.html

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。

CrushFTP服务器端模板注入漏洞 (CVE-2024-4040) 安全通告