美国政府：赶紧给 VMware 设备打补丁，否则拔掉设备！

披露了严重的身份验证绕过漏洞，旧漏洞受到大肆攻击。

美国政府网络安全和基础设施安全局（CISA）在一天内向VMware用户接连发出了两则警告，它认为这家虚拟化技术巨头的产品可能被不法分子用来控制系统。

该部门认为这个威胁足够严重，于是命令美国政府机构停止使用VMware产品，如果无法打上补丁的话。

这两则警告中一则强调了一个严重的身份验证绕过漏洞（编号为CVE-2022-22972），CVSS等级评分为9.8分（最严重是10 分），VMware 周三已予以披露。

这个漏洞影响五款产品：Workspace ONE Access、VMware Identity Manager、VMware vRealize Automation、vRealize Suite Lifecycle Manager和VMware Cloud Foundation。

恶意分子通过网络访问用户界面（UI）无需验证身份，就能获得管理员访问权限。

Cloud Foundation中的漏洞非常可怕，因为该产品正是VMware用于构建和管理运行虚拟机和容器的混合多云系统的工具。这意味着未经授权的用户能够获得管理员级别的权限，并操控本地的那些资源，还可能操控基于VMware的公共云上的那些资源（这其中4000多个公共云由VMware的合作伙伴运行），以及与 AWS、微软、谷歌、Oracle、IBM 云和阿里云合作运行的环境上的资源。

该漏洞对其他产品的影响也很大，因为Identity Manager和Workspace ONE Access control可以通过VMware的应用程序发布工具授予访问应用程序和 SaaS服务的权限，而vRealize拥有广泛的自动化功能，触及混合云运营的许多方面。

第二个漏洞 CVE-2022-22973也在周三披露，让攻击者可以在VMware Workspace ONE Access和VMware Identity Manager中成为root用户。该漏洞评分为7.8 分。

这两个安全漏洞造成的威胁非常大，以至于CISA颁布了一道紧急指令，要求美国民事政府机构在 5 月 23 日之前将任何在互联网上暴露的VMware高危产品从生产环境撤下，应该将它们视为受到严重威胁。美国政府机构还必须列出所有使用的受影响产品，并在同一期限内打上补丁。如果无法打上补丁，CISA希望从政府网络上移除这些产品，无论它们是不是面向互联网。

VMware被美国政府机构广泛使用。如果其产品关闭，生产力和服务可能会受到严重的扰乱。

CISA 对VMware用户发出的另一则警告针对这家IT巨头在2022 年4月初披露的漏洞。这家网络安全部门表示，它觉得攻击者可能是高级持续性威胁（APT）分子，分别利用CVE-2022-22954和 CVE-2022-22960 ，或者同时利用这两个漏洞，以获得“系统的全面控制权”。4 月份披露的漏洞影响的正是今天披露的漏洞影响的同一批产品。

该部门发布的安全公告声明，CISA 事件响应团队已经派驻一家“威胁分子利用了CVE-2022-22954的大型组织”前去救火。“另外多家大型组织发现了可信赖第三方被利用和被攻击的迹象。”

VMware关于今天披露的常见问题解答（FAQ）问道：“为什么这些软件组件还有第二份VMware安全公告（ VMSA）？”

VMware的回答如下：安全研究人员发现漏洞后，漏洞常常引起其他安全研究人员的注意，他们为研究带来了不同的视角和经验。VMware认识到额外的补丁会给IT员工带来不便，但我们兼顾这种担忧和透明度方面的承诺，让我们的客户了解情况，并提前防范潜在的攻击。

然而，正如CISA的忠告那样，VMware客户并没有提前防范这些攻击。相反，他们只是在不停地打补丁。