CISA 指令：要求修复 VMWare 产品中的漏洞

重要信息摘要

• 美国网络安全和基础设施安全局 (CISA) 要求联邦机构和承包商修复多个 VMWare 产品中的漏洞。
• 至少四个漏洞正在被积极利用，且已有证据表明恶意黑客能够在更新发布后不到48小时内针对未打补丁的系统进行攻击。
• 涉及的 VMWare 产品包括 VMware Workspace ONE Access、VMware Identity Manager、VMware vRealize Automation、VMware Cloud Foundation 和 vRealize Suite Lifecycle Manager。

CISA 正在发出指令，要求联邦机构和承包商关注一系列影响多个 VMWare 产品的漏洞，该机构表示这些漏洞正在野外对未打补丁的系统进行主动利用。

本次于周三发布的
涉及至少四个不同的漏洞。VMWare 在四月对两个漏洞进行了修补，这其中包括一个严重的服务器端模板注入漏洞（严重性评级为 9.8颗星），此漏洞可能导致远程代码执行以及一个特权升级错误（评级 7.8）。CISA表示有证据显示，恶意黑客能够逆向工程更新，以制造出针对未打补丁系统的攻击，并在更新发布后不到 48小时内就已经利用漏洞，因此这些漏洞已被加入到其已知利用漏洞数据库，联邦机构必须依此进行修补。

周三，VMWare 又针对另外两个漏洞发布了补丁（ 和
），CISA认为这四个漏洞可以联合使用来攻击受影响软件的未打补丁版本，对联邦系统构成“不可接受的风险”。

“这一决定基于以下因素：在野外确认攻击了
和 CVE-2022-22960的威胁行为者，CVE-2022-22972 和 CVE-2022-22973可能会被未来利用，影响的软件在联邦企业中的普遍性，以及可能妨害机构信息系统的高风险，”指令指出。

CISA 定下时间表以盘点或移除 VMWare 应用

联邦机构必须在 5 月 23 日星期一之前制定所有受影响的软件实例在其 IT 环境中的清单，并对其进行修补或将其从网络中移除。透过互联网公众可访问的
VMWare 应用版本必须假定已遭到破坏，应立即断开，并进行威胁狩猎操作。

“机构只有在完成威胁狩猎活动且未检测到异常后，并且已应用更新时，方可将这些产品重新连接至其网络。”指令中写道。

到第二天中午，机构必须通过 CyberScope提供所有已知实例的状态更新，该工具供联邦机构报告其遵循的合规性。机构还必须与合作，以确保第三方云服务提供商也做到这一点。

这些漏洞共影