VMware针对影响多个产品的新漏洞发布修补程序

VMware已发布修补程序,其中包含两个影响Workspace ONE Access、Identity Manager和vRealize Automation的安全缺陷,这些缺陷可被利用到后门企业网络。
两个缺陷中的第一个缺陷被追踪为CVE-2022-22972(CVSS分数:9.8),涉及一个身份验证旁路,该旁路可使具有UI网络访问权限的参与者在没有事先身份验证的情况下获得管理访问权限。
CVE-2022-22973(CVSS分数:7.8)是另一个bug,它是一种本地权限提升的情况,可使具有本地访问权限的攻击者将权限提升到易受攻击的虚拟设备上的“root”用户。
VMware表示:“在内部部署中,快速采取措施修补或缓解这些问题非常重要。”
此前,美国网络安全和基础设施局(CISA)发出警告,称高级持续威胁(APT)集团正在利用CVE-2022-22954和CVE-2022-22960—;上个月初修复的另外两个VMware缺陷—;单独或组合。
“一名通过网络访问web界面的未经身份验证的参与者利用CVE-2022-22954以VMware用户的身份执行任意shell命令,”它说。然后,参与者利用CVE-2022-22960将用户权限升级到root。通过root访问,参与者可以擦除日志、升级权限并横向移动到其他系统
最重要的是,网络安全局指出,威胁行为体已经在至少三个不同的组织中部署了攻击后工具,如Dingo J-spy网络外壳。
IT安全公司Barracuda Networks在一份独立报告中表示,在4月6日公布CVE-2022-22954和CVE-2022-22960的缺陷后不久,该公司观察到了持续的野外调查尝试。

据称,四分之三以上的攻击者IP(约76%)来自美国,其次是英国(6%)、俄罗斯(6%)、澳大利亚(5%)、印度(2%)、丹麦(1%)和法国(1%)。
该公司记录的一些攻击企图涉及僵尸网络运营商,威胁行为者利用这些缺陷部署Mirai分布式拒绝服务(DDoS)恶意软件的变体。
这些问题还促使CISA发布紧急指令,敦促联邦民事执行局(FCEB)机构在5月23日美国东部夏令时下午5点之前应用更新,或断开设备与网络的连接。
该机构表示:“CISA预计,威胁行为体将迅速开发出一种能力,利用同一受影响的VMware产品中这些新发布的漏洞”。
该公司推出了一项更新,以解决其Cloud Director产品(CVE-2022-22966)中的一个关键安全漏洞,该漏洞可能会被武器化以发起远程代码执行攻击。一个多月后,这些补丁就发布了。
CISA警告积极利用F5 BIG-IP CVE-2022-1388
受到攻击的不仅仅是VMware。该机构还发布了关于积极利用CVE-2022-1388(CVSS分数:9.8)的后续咨询,CVE-2022-1388是最近披露的一个影响BIG-IP设备的远程代码执行缺陷。
中钢协表示,预计“政府和私营部门网络中都会出现未打补丁的F5 BIG-IP设备(大多带有公开的管理端口或自助IP)被广泛利用的情况”。