VMware 已发布补丁以包含两个影响 Workspace ONE Access、Identity Manager 和 vRealize Automation 的安全漏洞,这些漏洞可被利用到后门企业网络。这两个漏洞中的第一个被跟踪为 CVE-2022-22972(CVSS 评分:9.8),涉及身份验证绕过,可以使具有网络访问 UI 的行为者无需事先身份验证即可获得管理访问权限。CVE-2022-22973(CVSS 分数:7.8)是另一个漏洞,是本地权限提升的一个案例,可以使具有本地访问权限的攻击者在易受攻击的虚拟设备上提升“root”用户的权限。美国网络安全和基础设施局 (CISA)发出警告称,高级持续威胁 (APT) 组织正在利用 CVE- 2022-22954和 CVE-2022-22960(上月初修复 的另外两个 VMware 漏洞)分别和结合。
一个未经身份验证的攻击者可以通过网络访问 Web 界面,利用 CVE-2022-22954 作为 VMware 用户执行任意 shell 命令,攻击者利用 CVE-2022-22960 将用户的权限提升为 root。通过 root 访问,攻击者可以擦除日志、提升权限并横向移动到其他系统。
最重要的是,网络安全机构指出,威胁行为者已经在至少三个不同的组织中部署了诸如 Dingo J-spy web shell 之类的后利用工具。
IT 安全公司 Barracuda Networks 在一份独立报告中表示,在 CVE-2022-22954 和 CVE-2022-22960 缺陷于 4 月 6 日公之于众后不久,它就观察到了在野外对 CVE-2022-22954 和 CVE-2022-22960 的持续探测尝试。
据说超过四分之三的攻击者 IP(约 76%)来自美国,其次是英国(6%)、俄罗斯(6%)、澳大利亚(5%)、印度(2%)、丹麦(1%)和法国(1%)。
该公司记录的一些利用尝试涉及僵尸网络运营商,威胁参与者利用这些漏洞部署Mirai分布式拒绝服务 (DDoS) 恶意软件的变体。
更多信息可登录VMware官网:https://www.vmware.com/security/advisories/VMSA-2022-0014.html
相关素材