近日,研究人员发现了远程代码执行(RCE)漏洞VMwareCVE-2022-22954的概念验证漏洞,主要用于主动攻击挖矿设备和感染服务器。该漏洞高达9.8的CVSS评分表明其异常严重,主要影响两种广泛使用的软件产品,即VMwareWorkspaceONEAccess和VMwareIdentityManager。事实上,VMware在2022年4月6日就针对该漏洞发布了安全警告,称拥有网络访问权限的攻击者可能会触发服务器端模板注入,从而实现远程代码执行。此后不久,该公司发布了受影响产品的安全更新和解决方法说明,以帮助管理员立即更新。与此同时,VMware强调了解决该漏洞的重要性:“管理员应立即按照VMSA-2021-0011中的说明修补或缓解该漏洞,这具有相当严重的后果。”本周,Security研究人员为CVE-2022-22954创建了多个有效漏洞利用程序,并在Twitter上发布了至少一个概念验证漏洞利用程序。虽然像这样公开发布漏洞会增加攻击者利用它们的风险,但研究人员的目的是进行测试以帮助保护系统并验证现有修复程序/补丁的有效性。根据网络安全公司BadPackets的情报,攻击者目前正在积极扫描易受攻击的设备。显然,有人试图检测和利用此漏洞。有效负载中使用的IP地址106.246.224.219最近被发现在其他攻击中利用了LinuxTsunami后门。然而,不清楚“那个”可执行文件是什么,因为它不再被允许访问。安全研究员DanielCard近日也在推特上分享了自己的看法,称该漏洞被用来降低挖矿设备的载荷。通常,攻击者会在第一次攻击新漏洞时执行此操作。一旦他们控制了服务器,其中一些攻击者就关闭了漏洞。此外,卡德还表示,我们可能很快就会看到勒索软件团伙开始利用这个漏洞在网络内横向传播。在此,我们强烈建议使用VMware产品的用户确保您使用的是最新的可用版本,因为除了VMwareCVE-2022-22954漏洞正在被积极利用外,其他严重缺陷还影响到WorkspaceOneAccess和IdentityManager其他产品,和安全更新可以最大限度地保护您。参考来源:https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-cve-2022-22954-bug-patch-now/
