云头条
「6個漏洞,根本不需要配置,不需要打開連接埠;就是純粹的 RCE,不用慌亂,輕鬆搞定。”
VMware 一款被廣泛使用的產品的預設配置中曝出六個新的嚴重漏洞,root 超級權限唾手可得,但該公司尚未對發現這些漏洞的安全研究人員的主動聯繫做出回應。
這些預先驗證 RCE VMware 漏洞是由圈內頗負盛名的安全研究人員 Sina Kheirkhah 發現的。
近日他告訴 IT 外媒 The Stack,在 VMware 被博通收購之前,VMware 的安全團隊總是能夠迅速回應,但這次除了緘默不語什麼都沒得到。
在試圖提醒 VMware 30 天無果後,這位研究人員(X上的帳戶名為@sinsinology)改而將這些漏洞上報給了漏洞懸賞項目「零日倡議組織」(Zero Day Initiative,簡稱ZDI)。
他說,「該漏洞懸賞計畫「在短短幾小時內、而不是幾天內就受理了問題,並驗證了它們的嚴重性。 」
這些漏洞現在經過驗證後被認為具有 CVSS 9.8 的嚴重程度。
ZDI 要求 VMware 在 9 月 6 日之前拿出修復程序、提供賞金。 如果 ZDI 沒有回應,它就將它們標記為零日漏洞,並為 ZDI/趨勢科技客戶開發檢測特徵碼。
安全研究人員@sinsinology 拒絕向The Stack 透露任何漏洞細節,主要是擔心這麼做可能會給企圖將漏洞淪為武器的威脅分子提供線索——只是坦率地表示VMware 的這款產品“始終容易受到所有六 漏洞的攻擊,根本不需要配置,不需要打開端口;就是純粹的RCE,不用慌亂,輕鬆搞定。
他補充道,VMware 「漏洞類型既是單一問題,又是問題鏈,但如今,考慮到威脅分子變得很狡猾,透露漏洞類別、哪怕是丁點線索也讓他們可以做一些事情,比如找出與安全 補丁相關的二進位代碼諸版本之間的變化(patch diffing)。
他表示,從 4 月 9 日開始自己先後透過電子郵件和 X 私訊聯繫 VMware(他之前常透過 X 私訊與 VMware 安全團隊聯繫),卻沒有得到回應。
對揭露的安全漏洞進行分類很困難,但@sinsinology 先前報告的VMware 存在的CVE 包括CVE-2023-20888 和CVE-2023-20889(Aria Operations for Networks 中嚴重的命令注入漏洞),以及透過XStream 開源程式庫 漏洞(CVE-2021-39144)針對VMware Cloud Foundation (NSX-V)的嚴重RCE 漏洞。
他表示,在被博通收購之前,VMware 的安全團隊過去回應迅速。
客戶們只好祈禱這些漏洞很快就得到修補程式;如果 VMware 發布安全公告,立即採取緩解措施,同時閱讀 VMware 環境加固方面的使用手冊。
修補程式一旦發布,毫無疑問威脅分子會迅速對修補程式進行反向工程分析,因為 VMware 是眾多企業環境的核心技術,因而成為誘人的目標。
十週前,VMware 發布了針對 ESXi、Workstation、Fusion和Cloud Foundation 的一系列嚴重漏洞的修復程序,這些漏洞最初是在 2023 年中國天府盃國際網路安全大賽中發現的。