美国政府:赶紧给 VMware 设备打补丁,否则拔掉设备!

2022-05-23 11:48:53 浏览数 (1)

披露了严重的身份验证绕过漏洞,旧漏洞受到大肆攻击。

美国政府网络安全和基础设施安全局(CISA)在一天内向VMware用户接连发出了两则警告,它认为这家虚拟化技术巨头的产品可能被不法分子用来控制系统。

该部门认为这个威胁足够严重,于是命令美国政府机构停止使用VMware产品,如果无法打上补丁的话。

这两则警告中一则强调了一个严重的身份验证绕过漏洞(编号为CVE-2022-22972),CVSS等级评分为9.8分(最严重是10 分),VMware 周三已予以披露。

这个漏洞影响五款产品:Workspace ONE Access、VMware Identity Manager、VMware vRealize Automation、vRealize Suite Lifecycle Manager和VMware Cloud Foundation。

恶意分子通过网络访问用户界面(UI)无需验证身份,就能获得管理员访问权限。

Cloud Foundation中的漏洞非常可怕,因为该产品正是VMware用于构建和管理运行虚拟机和容器的混合多云系统的工具。这意味着未经授权的用户能够获得管理员级别的权限,并操控本地的那些资源,还可能操控基于VMware的公共云上的那些资源(这其中4000多个公共云由VMware的合作伙伴运行),以及与 AWS、微软、谷歌、Oracle、IBM 云和阿里云合作运行的环境上的资源。

该漏洞对其他产品的影响也很大,因为Identity Manager和Workspace ONE Access control可以通过VMware的应用程序发布工具授予访问应用程序和 SaaS服务的权限,而vRealize拥有广泛的自动化功能,触及混合云运营的许多方面。

第二个漏洞 CVE-2022-22973也在周三披露,让攻击者可以在VMware Workspace ONE Access和VMware Identity Manager中成为root用户。该漏洞评分为7.8 分。

这两个安全漏洞造成的威胁非常大,以至于CISA颁布了一道紧急指令,要求美国民事政府机构在 5 月 23 日之前将任何在互联网上暴露的VMware高危产品从生产环境撤下,应该将它们视为受到严重威胁。美国政府机构还必须列出所有使用的受影响产品,并在同一期限内打上补丁。如果无法打上补丁,CISA希望从政府网络上移除这些产品,无论它们是不是面向互联网。

VMware被美国政府机构广泛使用。如果其产品关闭,生产力和服务可能会受到严重的扰乱。

CISA 对VMware用户发出的另一则警告针对这家IT巨头在2022 年4月初披露的漏洞。这家网络安全部门表示,它觉得攻击者可能是高级持续性威胁(APT)分子,分别利用CVE-2022-22954和 CVE-2022-22960 ,或者同时利用这两个漏洞,以获得“系统的全面控制权”。4 月份披露的漏洞影响的正是今天披露的漏洞影响的同一批产品。

该部门发布的安全公告声明,CISA 事件响应团队已经派驻一家“威胁分子利用了CVE-2022-22954的大型组织”前去救火。“另外多家大型组织发现了可信赖第三方被利用和被攻击的迹象。”

VMware关于今天披露的常见问题解答(FAQ)问道:“为什么这些软件组件还有第二份VMware安全公告( VMSA)?”

VMware的回答如下:安全研究人员发现漏洞后,漏洞常常引起其他安全研究人员的注意,他们为研究带来了不同的视角和经验。VMware认识到额外的补丁会给IT员工带来不便,但我们兼顾这种担忧和透明度方面的承诺,让我们的客户了解情况,并提前防范潜在的攻击。

然而,正如CISA的忠告那样,VMware客户并没有提前防范这些攻击。相反,他们只是在不停地打补丁。

0 人点赞