近日，研究人員發(fā)現(xiàn)了針對(duì)遠(yuǎn)程代碼執(zhí)行(RCE)漏洞 VMware CVE-2022-22954的概念驗(yàn)證漏洞，它主要被用于主動(dòng)攻擊挖礦設(shè)備進(jìn)而感染服務(wù)器。該漏洞的CVSS評(píng)分高達(dá)9.8，可見(jiàn)它的嚴(yán)重性非同一般，其主要影響VMware Workspace ONE Access和VMware Identity Manager這兩款廣泛使用的軟件產(chǎn)品。

其實(shí)，VMware公司在2022年4月6日就發(fā)布了關(guān)于該漏洞的安全警告，稱(chēng)具有網(wǎng)絡(luò)訪問(wèn)權(quán)限的攻擊者可能會(huì)觸發(fā)服務(wù)器端模板注入，從而實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。隨后不久，公司就針對(duì)受影響的產(chǎn)品發(fā)布了安全更新和解決方案說(shuō)明，以幫助管理員立即更新升級(jí)。

與此同時(shí)，VMware強(qiáng)調(diào)了解決這個(gè)漏洞的重要性:“管理員應(yīng)按照VMSA-2021-0011中的說(shuō)明立即修補(bǔ)漏洞或減輕漏洞的影響，這個(gè)漏洞會(huì)導(dǎo)致相當(dāng)嚴(yán)重的后果。”

本周，安全研究人員針對(duì)CVE-2022-22954 創(chuàng)建了一些有效的漏洞利用，并在 Twitter 上發(fā)布了至少一個(gè)概念驗(yàn)證漏洞利用的案例。

雖然像這樣公共發(fā)布漏洞會(huì)增加攻擊者利用它們的風(fēng)險(xiǎn)，但研究人員的初衷是旨在通過(guò)測(cè)試為保護(hù)系統(tǒng)提供幫助并驗(yàn)證現(xiàn)有修復(fù)程序/補(bǔ)丁的有效性。

根據(jù)網(wǎng)絡(luò)安全公司Bad Packets的情報(bào)顯示，當(dāng)前，攻擊者正積極掃描易受感染的設(shè)備。顯然，他們有檢測(cè)并利用該漏洞的企圖。

有效載荷中使用的 IP 地址 106.246.224.219， 最近被發(fā)現(xiàn)在其他攻擊中利用了Linux Tsunami 后門(mén)。然而，目前還不清楚“那個(gè)”可執(zhí)行文件是什么，因?yàn)樗呀?jīng)不再允許被訪問(wèn)。

安全研究人員Daniel Card近日也在推特上分享了自己的觀點(diǎn)，稱(chēng)該漏洞被用來(lái)降低挖礦設(shè)備的有效負(fù)載。通常而言，攻擊者針對(duì)新漏洞發(fā)起的第一次攻擊會(huì)那么做。而其中一些攻擊者一旦控制了服務(wù)器，就會(huì)關(guān)閉漏洞。

另外，Card還表示，我們可能很快會(huì)看到勒索軟件團(tuán)伙開(kāi)始利用這個(gè)漏洞在網(wǎng)絡(luò)內(nèi)橫向傳播。

在這里，我們強(qiáng)烈建議VMware產(chǎn)品的用戶，確保您使用的是最新的可用版本，因?yàn)槌薞Mware CVE-2022-22954漏洞正積極被利用，其他一些較嚴(yán)重的缺陷還會(huì)影響Workspace One Access和Identity Manager之外的其他產(chǎn)品，而安全更新可以最大程度地使您受到保護(hù)。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-cve-2022-22954-bug-patch-now/