vmware在5月18日发布安全公告,修补了cve-2022-22972与cve-2022-22973两个安全漏洞。有鉴于vmware于今年4月修补的两个安全漏洞在发布48小时内就遭到开采,美国国土安全部旗下的网络安全及基础设施安全局(cybersecurity and infrastructure security agency,cisa)在5月18日同步发布了紧急指令22-03(emergency directive 22-03),要求美国联邦各行政机构必须在5月23日以前修补这两个新漏洞。
其中,cve-2022-22972属于认证绕过漏洞,允许未经身份认证的黑客取得管理访问权限,其cvss风险评分高达9.8,波及vmware workspace one access、identity manager与vrealize automation等产品;cve-2022-22973则为本地端权限扩张漏洞,允许具备本地端访问权限的黑客将权限扩大至根权限,cvss风险评分为7.8,影响vmware workspace one access与identity manager。
一般而言,cisa通常会把已经遭到开采的安全漏洞纳入“已知遭开采漏洞”(known exploited vulnerabilities)目录,再要求联邦组织限期改善,而期限多落在21天,然而,这次cisa却通过紧急指令,要求联邦组织要在5天内修补这两个尚未出现攻击行动的安全漏洞。
cisa说明,vmware曾于4月6日修补远程程序攻击漏洞cve-2022-22954及权限扩张漏洞cve-2022-22960,但在修补程序出炉之后,黑客便通过反向工程打造了这两个漏洞的攻击程序,随即于48小时内展开攻击,但cisa一直到一周后才得知攻击行动,分别在4月14日与15日将它们列入“已知遭开采漏洞”目录,要求联邦组织于5月5日及6日之前进行修补。
cisa依据cve-2022-22954与cve-2022-22960的发展经验,再加上这次所修补的cve-2022-22972与cve-2022-22973两个漏洞所波及的软件广泛存在于联邦组织中,非常可能被用来危害联邦组织的资讯系统,认为这是无法接受的风险,因而发出紧急指令。
总之,美国联邦组织必须在5月23日以前部署这两个漏洞的安全更新,或者是暂时将受到影响的软件移出组织网络,一直到修复为止。