VMware 针对影响多个产品的新漏洞发布补丁

    VMware 已发布补丁，其中包含两个影响 Workspace ONE Access、Identity Manager 和 vRealize Automation 的安全漏洞，这些漏洞可能被利用来后端企业网络。两个缺陷中的第一个，跟踪为CVE-2022-22972（CVSS得分：9.8），涉及身份验证绕过，该绕过可能使具有UI网络访问权限的参与者无需事先身份验证即可获得管理访问权限。

    另一个错误 CVE-2022-22973（CVSS 分数：7.8）是一种本地权限提升情况，可能使具有本地访问权限的攻击者能够将特权提升到易受攻击的虚拟设备上的“root”用户。快速采取措施修补或缓解本地部署中的这些问题非常重要。

    此次披露之前，美国网络安全和基础设施局（CISA）发出警告，称高级持续性威胁（APT）组织正在单独和组合地利用CVE-2022-22954和CVE-2022-22960 - 上个月初修复的另外两个VMware漏洞。

    一个未经身份验证的参与者利用CVE-2022-22954作为VMware用户执行任意shell命令，然后，该行为者利用CVE-2022-22960将用户的权限升级到root权限。通过root访问权限，参与者可以擦除日志，升级权限，并横向移动到其他系统。

    最重要的是，网络安全当局指出，威胁行为者已经在至少三个不同的组织中部署了诸如Dingo J-spy Web shell之类的开发后工具。

    IT安全公司梭子鱼网络（Barracuda Networks）在一份独立报告中表示，在4月6日将CVE-2022-22954和CVE-2022-22960的缺点公之于众后不久，它已经观察到了对CVE-2022-22954和CVE-2022-22960的持续探测尝试。

    超过四分之三的攻击者IP（约76%）据说来自美国，其次是英国（6%），俄罗斯（6%），澳大利亚（5%），印度（2%），丹麦（1%）和法国（1%）。

    该公司记录的一些利用尝试涉及僵尸网络运营商，威胁参与者利用这些漏洞来部署Mirai分布式拒绝服务（DDoS）恶意软件的变体。这些问题还促使CISA发布紧急指令，敦促联邦民事行政部门（FCEB）机构在5月23日以5 p.m. EDT应用更新，或断开设备与其网络的连接。

    CISA希望威胁参与者能够迅速开发一种能力，以利用同样受影响的VMware产品中这些新发布的漏洞。

    这些补丁在该公司推出更新以解决其Cloud Director产品（CVE-2022-22966）中的关键安全漏洞后一个多月到达，该漏洞可能被武器化以启动远程代码执行攻击。

CISA 警告积极利用 F5 BIG-IP CVE-2022-1388

    受到抨击的不仅仅是 VMware。该机构还发布了有关积极利用CVE-2022-1388（CVSS得分：9.8）的后续公告，CVE-2022-1388是最近披露的远程代码执行缺陷，影响BIG-IP设备。

    CISA表示，它预计“在政府和私营部门网络中看到未修补的F5 BIG-IP设备（大多数具有公开的管理端口或自IP）的广泛利用。