圖片來源: 

美國國土安全部

VMware在5月18日發布安全公告,修補了CVE-2022-22972與CVE-2022-22973兩個安全漏洞。有鑑於VMware於今年4月修補的兩個安全漏洞在發布48小時內就遭到開採,美國國土安全部旗下的網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)在5月18日同步釋出了緊急指令22-03(Emergency Directive 22-03),要求美國聯邦各行政機構必須在5月23日以前修補這兩個新漏洞。

其中,CVE-2022-22972屬於認證繞過漏洞,允許未經身分認證的駭客取得管理存取權限,其CVSS風險評分高達9.8,波及VMware Workspace ONE Access、Identity Manager與vRealize Automation等產品;CVE-2022-22973則為本地端權限擴張漏洞,允許具備本地端存取權限的駭客將權限擴大至根權限,CVSS風險評分為7.8,影響VMware Workspace ONE Access與 Identity Manager。

一般而言,CISA通常會把已經遭到開採的安全漏洞納入「已知遭開採漏洞」(Known Exploited Vulnerabilities)目錄,再要求聯邦組織限期改善,而期限多落在21天,然而,這次CISA卻透過緊急指令,要求聯邦組織要在5天內修補這兩個尚未出現攻擊行動的安全漏洞。

CISA說明,VMware曾於4月6日修補遠端程式攻擊漏洞CVE-2022-22954及權限擴張漏洞CVE-2022-22960,但在修補程式出爐之後,駭客便透過反向工程打造了這兩個漏洞的攻擊程式,旋即於48小時內展開攻擊,但CISA一直到一周後才得知攻擊行動,分別在4月14日與15日將它們列入「已知遭開採漏洞」目錄,要求聯邦組織於5月5日及6日之前進行修補。

CISA依據CVE-2022-22954與CVE-2022-22960的發展經驗,再加上這次所修補的CVE-2022-22972與CVE-2022-22973兩個漏洞所波及的軟體廣泛存在於聯邦組織中,非常可能被用來危害聯邦組織的資訊系統,認為這是無法接受的風險,因而發出緊急指令。

總之,美國聯邦組織必須在5月23日以前部署這兩個漏洞的安全更新,或者是暫時將受到影響的軟體移出組織網路,一直到修復為止。

熱門新聞

Advertisement