CISA命令美国联邦机构尽快实施补丁
已指示美国联邦机构立即修补或暂时停用从VMware的一组企业产品,以响应“主动和预期的剥削多个漏洞”。
美国网络安全和基础架构安全机构(CISA)的紧急指令敦促修补VMware Workspace One Access,VMware Identity Manager,VMware VRealize自动化,VMware Cloud Foundation和VREALIZE SUITE SUITE SUITE LIFECYCLE MARAFER。
如果及时修补是不切实际的,则指示联邦机构从代理机构中删除脆弱产品的实例网络。
快速行动
攻击者已逆向工程最近披露了软件漏洞在各种VMware产品中,为了开发利用和攻击未捕获的系统。
该策略已经导致了CVE-2022-22954和CVE-2022-22960的积极剥削,并且可能随之而来的相同的滥用行为。
你可能还喜欢流行网站将用户电beplay体育能用吗子邮件数据泄漏到Web跟踪域
“基于这项活动,CISA期望恶意的网络参与者迅速发展能够利用CVE-2022-22972和CVE-2022-22973的能力,VMware于2022年5月18日披露,”警报来自该机构警告。
在一个VMware发出的相关咨询在周三(5月18日),供应商解释说,它已经修补了身份验证旁路漏洞(CVE-2022-22972)和当地的特权升级漏洞(CVE-2022-22973),涉及VMware Workspace Workspace,VMware Idcess,VMware Identity Manager,VRMWARE VREALELIZE,VREALELIZE,VREALELIZE,VREALELIZE,Automation,VMware Cloud Foundation和Vrealize Suite Lifecycle Manager。
这CVE-2022-22954已经在主动攻击下的脆弱性涉及服务器端模板注入VMware Workspace中的漏洞一个访问和身份管理器构成远程代码执行风险。该缺陷的CVSS得分为9.8,接近最大值。
这CVE-2022-22960漏洞涉及涉及VMware Workspace One Access,Identity Manager和VREALIZE自动化的较小但仍然高风险的升级漏洞。
两个缺陷都来了在主动攻击下,仅在发布补丁后几天,安全供应商梭子鱼网络报告:
绝大多数攻击都来自美国的地理,其中大多数来自数据中心和云提供商。尽管峰值主要来自这些IP范围,但俄罗斯已知的不良IP的背景尝试也一致。这些IP中的某些IPS进行了定期扫描对特定漏洞的扫描,并且看起来VMware漏洞已添加到其通常的Laravel/Drupal/PHP探针的旋转列表中。
攻击背后的动机尚不清楚。
尽管不寻常的紧急行动咨询主要针对美国联邦机构,但CISA敦促其他企业组织从其网络中更新或删除受影响的产品的安装。
CISA补充说,受影响产品的易受伤害,可访问的互联网设施应被视为已有可能受到威胁的。
