扫码关注我们
CISA 发布 VMware 漏洞紧急指令

网络安全和基础设施安全局(CISA)已经向所有联邦机构发出紧急指令,以减轻 VMware 的两个新漏洞。


该指令涉及两个新的漏洞-cve-2022-22972和 CVE-2022-22973-CISA 认为威胁行为者可能会利用众多 VMware 产品。它们分别是 VMware Workspace ONE Access (Access)、 VMware Identity Identity Manager (vIDM)、 VMware vrealization Automation (vRA)、 VMware Cloud Foundation 和 vrealization Suite Lifecycle Manager。


在此之前,在这些 VMware 产品中发现了两个早期的漏洞,CVE 2022-22954和 CVE 2022-22960。虽然 VMware 在2022年4月6日发布了一个更新来修补这些漏洞,但是威胁参与者能够对更新进行反向工程,并开始利用受影响的 VMware 产品,这些产品在更新发布后的48小时内仍未修补。


CISA 感到关切的是,威胁行为者将迅速发展以同样方式利用 cve-2022-22972和 cve-2022-22973的能力。这包括通过远程代码执行,将特权升级到“根”,以及无需通过身份验证即可获得管理访问。VMware 昨天(5月18日)发布了这两个漏洞的更新。


该指令指出:”CISA 已确定这些漏洞对联邦文职行政部门(行政首长协调会)机构构成不可接受的风险,需要采取紧急行动。这一决定的依据是: 野生威胁行为者已确认开发 cve-2022-22954和 CVE-2022-22960; 今后开发 cve-2022-22972和 cve-2022-22973的可能性; 受影响软件在联邦企业中的普及程度; 以及机构信息系统受损害的可能性很大


为了缓解这些问题,网络安全和基础设施安全局给所有 FCEB 机构的最后期限是2022年5月23日。他们必须:

        列举代理网络上受影响的 VMware 产品的所有实例


        部署 WMware 漏洞更新,或者从机构网络中删除 VMware 产品,直到可以应用更新


如果由于供应商不支持产品而无法获得更新,则必须立即从代理网络中删除更新。


此外,对于所有可以从互联网上访问的受影响 VMware 产品的实例,FECB 代理机构必须:


        假定妥协,立即断开与生产网络的连接并进行威胁搜寻活动


        如果发现任何异常情况,立即通过central@cisa.dhs.gov 向 CISA 报告。 CISA 强调,上述行动适用于在第三方环境中使用或操作的信息系统中的机构资产。


本周早些时候,网络安全和基础设施安全局与加拿大、新西兰、荷兰和英国的网络安全部门一道,概述了威胁行为者危害受害者的10种最常见方式,其中大多数可以通过基本的网络卫生最佳做法得到缓解。