黑客利用关键的VMware CVE-2022-22954漏洞,请大家立即修补

发布时间:2022-04-14 06:43

针对 VMware CVE-2022-22954 远程代码执行漏洞的概念验证漏洞已在线发布,该漏洞已被用于感染硬币矿工服务器的主动攻击。

该漏洞是影响 VMware Workspace ONE Access 和 VMware Identity Manager 这两个广泛使用的软件产品的关键 (CVSS: 9.8) 远程代码执行 (RCE)。

该软件供应商于 2022 年 4 月 6 日发布了针对该漏洞的安全公告,警告具有网络访问权限的威胁参与者可能触发服务器端模板注入,从而导致 RCE

VMware 已 发布受影响产品的安全更新 和解决方法说明,以帮助解决管理员无法立即更新的部署风险。

同时,它强调了解决特定漏洞的重要性:“应根据 VMSA-2021-0011 中的说明立即修补或缓解此严重漏洞。这个漏洞的后果是严重的。”

攻击中积极利用的漏洞
本周,许多安全研究人员为 CVE-2022-22954 创建了有效的漏洞利用,并在 Twitter 上发布了至少一个概念验证漏洞利用。

虽然发布公共漏洞会增加威胁参与者在攻击中利用它们的风险,但它们还旨在通过测试帮助保护系统并充当现有修复程序/补丁的验证器。

一位安全研究人员在 Twitter 上为 CVE-2022-22954 提供了他的 PoC
如今,威胁参与者正在积极扫描易受攻击的主机,网络安全情报公司 Bad Packets 告诉 BleepingComputer,他们正在检测利用该漏洞的企图。

有效载荷中使用的 IP 地址 106.246.224.1 最近被发现 在其他攻击中丢弃了 Linux Tsunami 后门。但是,不清楚“一个”可执行文件是什么,因为它不再可访问。

安全研究人员 Daniel Card 还在 Twitter 上分享了 该漏洞被用来丢弃 coinminer 有效载荷,这通常是我们在威胁参与者针对新漏洞时看到的第一次攻击。

一旦获得服务器的控制权,其中一些威胁参与者就会关闭漏洞。

Card 告诉 BleepingComputer,我们可能会看到勒索软件团伙很快开始利用该漏洞在网络中横向传播。

由于它的积极利用,如果您尚未应用 VMware 安全更新或缓解措施,那么尽快这样做是非常紧迫的。

对于 VMware 产品的用户,值得注意的是, 供应商的公告 列出了除上述 RCE 之外的几个高严重性缺陷,这些缺陷会影响除 Workspace One Access 和 Identity Manager 之外的其他产品,因此请确保您使用的是最新的可用版本。

客户热线:037125966675

客户服务中心
云产品 服务器 合 作                  Skype