近日，研究人員發(fā)現(xiàn)了針對遠程代碼執(zhí)行(RCE)漏洞 VMware CVE-2022-22954的概念驗證漏洞，它主要被用于主動攻擊挖礦設(shè)備進而感染服務(wù)器。該漏洞的CVSS評分高達9.8，可見它的嚴重性非同一般，其主要影響VMware Workspace ONE Access和VMware Identity Manager這兩款廣泛使用的軟件產(chǎn)品。

其實，VMware公司在2022年4月6日就發(fā)布了關(guān)于該漏洞的安全警告，稱具有網(wǎng)絡(luò)訪問權(quán)限的攻擊者可能會觸發(fā)服務(wù)器端模板注入，從而實現(xiàn)遠程代碼執(zhí)行。隨后不久，公司就針對受影響的產(chǎn)品發(fā)布了安全更新和解決方案說明，以幫助管理員立即更新升級。

與此同時，VMware強調(diào)了解決這個漏洞的重要性:“管理員應(yīng)按照VMSA-2021-0011中的說明立即修補漏洞或減輕漏洞的影響，這個漏洞會導致相當嚴重的后果?！?/p>

本周，安全研究人員針對CVE-2022-22954 創(chuàng)建了一些有效的漏洞利用，并在 Twitter 上發(fā)布了至少一個概念驗證漏洞利用的案例。

雖然像這樣公共發(fā)布漏洞會增加攻擊者利用它們的風險，但研究人員的初衷是旨在通過測試為保護系統(tǒng)提供幫助并驗證現(xiàn)有修復(fù)程序/補丁的有效性。

根據(jù)網(wǎng)絡(luò)安全公司Bad Packets的情報顯示，當前，攻擊者正積極掃描易受感染的設(shè)備。顯然，他們有檢測并利用該漏洞的企圖。

有效載荷中使用的 IP 地址 106.246.224.219， 最近被發(fā)現(xiàn)在其他攻擊中利用了Linux Tsunami 后門。然而，目前還不清楚“那個”可執(zhí)行文件是什么，因為它已經(jīng)不再允許被訪問。

安全研究人員Daniel Card近日也在推特上分享了自己的觀點，稱該漏洞被用來降低挖礦設(shè)備的有效負載。通常而言，攻擊者針對新漏洞發(fā)起的第一次攻擊會那么做。而其中一些攻擊者一旦控制了服務(wù)器，就會關(guān)閉漏洞。

另外，Card還表示，我們可能很快會看到勒索軟件團伙開始利用這個漏洞在網(wǎng)絡(luò)內(nèi)橫向傳播。

在這里，我們強烈建議VMware產(chǎn)品的用戶，確保您使用的是最新的可用版本，因為除了VMware CVE-2022-22954漏洞正積極被利用，其他一些較嚴重的缺陷還會影響Workspace One Access和Identity Manager之外的其他產(chǎn)品，而安全更新可以最大程度地使您受到保護。

參考來源：https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-cve-2022-22954-bug-patch-now/