美國政府：趕緊給 VMware 設備打補丁，否則拔掉設備！

披露了嚴重的身份驗證繞過漏洞，舊漏洞受到大肆攻擊。

美國政府網絡安全和基礎設施安全局（CISA）在一天內向VMware用戶接連發出了兩則警告，它認為這家虛擬化技術巨頭的產品可能被不法分子用來控制系統。

該部門認為這個威脅足夠嚴重，于是命令美國政府機構停止使用VMware產品，如果無法打上補丁的話。

這兩則警告中一則強調了一個嚴重的身份驗證繞過漏洞（編號為CVE-2022-22972），CVSS等級評分為9.8分（最嚴重是10 分），VMware 周三已予以披露。

這個漏洞影響五款產品：Workspace ONE Access、VMware Identity Manager、VMware vRealize Automation、vRealize Suite Lifecycle Manager和VMware Cloud Foundation。

惡意分子通過網絡訪問用戶界面（UI）無需驗證身份，就能獲得管理員訪問權限。

Cloud Foundation中的漏洞非常可怕，因為該產品正是VMware用于構建和管理運行虛擬機和容器的混合多云系統的工具。這意味著未經授權的用戶能夠獲得管理員級別的權限，并操控本地的那些資源，還可能操控基于VMware的公共云上的那些資源（這其中4000多個公共云由VMware的合作伙伴運行），以及與 AWS、微軟、谷歌、Oracle、IBM 云和阿里云合作運行的環境上的資源。

該漏洞對其他產品的影響也很大，因為Identity Manager和Workspace ONE Access control可以通過VMware的應用程序發布工具授予訪問應用程序和 SaaS服務的權限，而vRealize擁有廣泛的自動化功能，觸及混合云運營的許多方面。

第二個漏洞 CVE-2022-22973也在周三披露，讓攻擊者可以在VMware Workspace ONE Access和VMware Identity Manager中成為root用戶。該漏洞評分為7.8 分。

這兩個安全漏洞造成的威脅非常大，以至于CISA頒布了一道緊急指令，要求美國民事政府機構在 5 月 23 日之前將任何在互聯網上暴露的VMware高危產品從生產環境撤下，應該將它們視為受到嚴重威脅。美國政府機構還必須列出所有使用的受影響產品，并在同一期限內打上補丁。如果無法打上補丁，CISA希望從政府網絡上移除這些產品，無論它們是不是面向互聯網。

VMware被美國政府機構廣泛使用。如果其產品關閉，生產力和服務可能會受到嚴重的擾亂。

CISA 對VMware用戶發出的另一則警告針對這家IT巨頭在2022 年4月初披露的漏洞。這家網絡安全部門表示，它覺得攻擊者可能是高級持續性威脅（APT）分子，分別利用CVE-2022-22954和 CVE-2022-22960 ，或者同時利用這兩個漏洞，以獲得“系統的全面控制權”。4 月份披露的漏洞影響的正是今天披露的漏洞影響的同一批產品。

該部門發布的安全公告聲明，CISA 事件響應團隊已經派駐一家“威脅分子利用了CVE-2022-22954的大型組織”前去救火。“另外多家大型組織發現了可信賴第三方被利用和被攻擊的跡象。”

VMware關于今天披露的常見問題解答（FAQ）問道：“為什么這些軟件組件還有第二份VMware安全公告（ VMSA）？”

VMware的回答如下：安全研究人員發現漏洞后，漏洞常常引起其他安全研究人員的注意，他們為研究帶來了不同的視角和經驗。VMware認識到額外的補丁會給IT員工帶來不便，但我們兼顧這種擔憂和透明度方面的承諾，讓我們的客戶了解情況，并提前防范潛在的攻擊。

然而，正如CISA的忠告那樣，VMware客戶并沒有提前防范這些攻擊。相反，他們只是在不停地打補丁。