由于受到攻击的风险增加，国土安全部的网络安全部门今天下令联邦民事执行局 (FCEB) 机构在周一之前紧急更新或从其网络中删除 VMware 产品。

在 VMware 今天修补了两个新漏洞 （CVE-2022-22972 和 CVE-2022-22973）之后，网络安全和基础设施安全局 (CISA) 于周三发布了紧急指令 22-03，即 绕过身份验证和影响多个产品的本地权限提升。

4 月，VMware 修补了 VMware Workspace ONE Access 和 VMware Identity Manager 中的另一组严重漏洞、远程代码执行错误 (CVE-2022-22954) 和“root”权限提升 (CVE-2022-229600)。

虽然今天的 VMware 漏洞尚未在野外被利用，但攻击者在对更新进行逆向工程后 48 小时内开始利用 4 月修复的漏洞，以 部署硬币矿工 并 安装后门。

受这四个安全漏洞影响的 VMware 产品的完整列表包括：

VMware Workspace ONE Access（访问）
VMware 身份管理器 (vIDM)
VMware vRealize 自动化 (vRA)
VMware 云基础
vRealize Suite 生命周期管理器
VMware表示所有四个安全漏洞“应该立即修补或缓解”，并补充说它们的后果“很严重”。

下令在周一之前修补或断开连接的机构
CISA 确定所有这些安全漏洞都对联邦机构构成了不可接受的风险，并已命令他们采取紧急行动，在 5 天内，即 5 月 23 日之前，对 CVE-2022-22972 和 CVE-2022-22973 进行修补。

“这一决定是基于已确认的 CVE-2022-22954 和 CVE-2022-22960 被野外威胁者利用、未来利用 CVE-2022-22972 和 CVE-2022-22973 的可能性、联邦企业中受影响的软件，以及机构信息系统受损的可能性很大，”网络安全机构 表示。

“CISA 希望威胁行为者能够快速开发出利用这些新发布的漏洞在相同受影响的 VMware 产品中的能力。”

根据新的紧急指令，所有 FCEB 机构必须在美国东部时间周一（2022 年 5 月 23 日）下午 5 点之前采取以下行动：

在其网络上查找所有受影响的 VMware 产品并部署更新或将其从网络中移除，直到可以修补它们。
假设所有暴露在 Internet 上的受影响的 VMware 产品受到威胁， 开展威胁搜寻活动，并向 CISA 报告任何异常情况。
在美国东部时间周二（2022 年 5 月 24 日）下午 12 点之前，所有机构都应使用 Cyber​​scope 报告在其网络上发现的所有 VMware 实例的状态。

“本紧急指令一直有效，直到 CISA 确定所有运营受影响软件的机构都已执行该指令的所有必要措施，或者该指令通过其他适当措施终止，”CISA 补充说。