压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

據(jù)Bleeping Computer網(wǎng)站5月26日消息，VMware?已在近期發(fā)布了安全更新，以解決影響 Workspace ONE Access、VMware Identity Manager (vIDM) 或 vRealize Automation 的 CVE-2022-22972 漏洞。該漏洞屬于多個 VMware 產(chǎn)品中的一個關(guān)鍵身份驗證繞過漏洞，能允許攻擊者獲得管理員權(quán)限。

隨著漏洞被修補，Horizo??n3 安全研究人員在26日發(fā)布了針對該漏洞的概念驗證 (PoC) 漏洞利用和技術(shù)分析。

研究人員表示，CVE-2022-22972是一個相對簡單的主機標頭漏洞，攻擊者可以較為容易的開發(fā)針對此漏洞的利用。雖然Shodan 搜索引擎僅顯示了有限數(shù)量的 VMware 設(shè)備受到針對此漏洞的攻擊，但仍有一些醫(yī)療保健、教育行業(yè)和政府組織成為攻擊目標的風(fēng)險正在增加。

具有嚴重后果的安全漏洞

VMware曾警告：“此漏洞的后果很嚴重。鑒于漏洞的嚴重性，我們強烈建議立即采取行動?！泵绹W(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)也曾發(fā)布新的緊急指令進一步強調(diào)了此安全漏洞的嚴重程度，該指令命令聯(lián)邦民事執(zhí)行局 (FCEB) 機構(gòu)緊急更新或從其網(wǎng)絡(luò)中刪除 VMware 產(chǎn)品。

今年4 月，VMware?修復(fù)了 VMware Workspace ONE Access 和 VMware Identity Manager 中的另外兩個嚴重漏洞：一個遠程代碼執(zhí)行錯誤 (CVE-2022-22954) 和一個root權(quán)限提升漏洞(CVE-2022-229600)。盡管 CVE-2022-22972 VMware auth bypass 尚未在野外被利用，但攻擊者已能夠在這兩個漏洞披露的 48 小時內(nèi)部署了系統(tǒng)后門和植入了挖礦木馬。

網(wǎng)絡(luò)安全機構(gòu)表示，CISA 預(yù)計攻擊者能夠迅速開發(fā)出針對這些新發(fā)布的漏洞，在相同受影響的 VMware 產(chǎn)品中進行利用的能力。

延伸消息：博通宣布將以610億美元收購VMware

當(dāng)?shù)貢r間5月26日，無線通信巨頭博通公司（Broadcom）宣布，已經(jīng)就收購VMware達成了協(xié)議，收購金額達到了610億美元，并承擔(dān)VMware 80億美元的債務(wù)。一旦收購?fù)瓿桑┩ㄜ浖块T將更名為VMware繼續(xù)運營，并將現(xiàn)有的基礎(chǔ)設(shè)施和安全軟件解決方案與VMware產(chǎn)品進行整合。CNBC稱，這是僅次于微軟收購動視暴雪，戴爾收購EMC之后的全球第三大科技行業(yè)并購。

參考來源：https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-vmware-auth-bypass-bug-patch-now/

來源：FreeBuf.COM