“6个漏洞,根本不需要配置,不需要打开端口;就是纯粹的 RCE,不用慌乱,轻松搞定。”
VMware一款被广泛使用的产品的默认配置中曝出六个新的严重漏洞,root 超级权限唾手可得,但该公司尚未对发现这些漏洞的安全研究人员的主动联系做出回应。
这些预身份验证 RCE VMware 漏洞是由圈内颇负盛名的安全研究人员 Sina Kheirkhah 发现的。
近日他告诉 IT 外媒 The Stack,在 VMware 被博通收购之前,VMware 的安全团队总是能够迅速回应,但这次除了缄默不语什么都没得到。
在试图提醒 VMware 30 天无果之后,这位研究人员(X上的帐户名为@sinsinology)改而将这些漏洞上报给了漏洞悬赏项目“零日倡议组织”(Zero Day Initiative,简称ZDI)。
他说,“该漏洞悬赏项目“在短短几小时内、而不是几天内就受理了问题,并验证了它们的严重性。”
这些漏洞现在经验证后被认为具有 CVSS 9.8 的严重程度。
ZDI 要求 VMware 在 9 月 6 日之前拿出修复程序、提供赏金。如果 ZDI 没得到响应,它就将它们标记为零日漏洞,并为 ZDI/趋势科技客户开发检测特征码。
安全研究人员 @sinsinology 拒绝向 The Stack 透露任何漏洞细节,主要是担心这么做可能会给企图将漏洞沦为武器的威胁分子提供线索——只是坦率地表示VMware 的这款产品“始终容易受到所有六个漏洞的攻击,根本不需要配置,不需要打开端口;就是纯粹的 RCE,不用慌乱,轻松搞定。”
他补充道,VMware “漏洞类型既是单一问题,又是问题链,但如今,考虑到威胁分子变得很狡猾,透露漏洞类别、哪怕是丁点线索也让他们可以做一些事情,比如找出与安全补丁相关的二进制代码诸版本之间的变化(patch diffing)。细节决定成败……”
他表示,从 4 月 9 日开始自己先后通过电子邮件和 X 私信联系 VMware(他之前常通过 X 私信与 VMware 安全团队联系),却没有得到回应。
对披露的安全漏洞进行分类很困难,但 @sinsinology 之前报告的 VMware 存在的 CVE 包括 CVE-2023-20888 和 CVE-2023-20889(Aria Operations for Networks 中严重的命令注入漏洞),以及通过 XStream 开源库漏洞(CVE-2021-39144)针对 VMware Cloud Foundation (NSX-V)的严重 RCE 漏洞。
他表示,在被博通收购之前,VMware 的安全团队过去回应迅速。
客户们只好祈祷这些漏洞很快得到补丁;如果 VMware 发布安全公告,立即采取缓解措施,同时阅读 VMware 环境加固方面的使用手册。
补丁一旦发布,毫无疑问威胁分子会迅速对补丁进行反向工程分析,因为 VMware 是众多企业环境的核心技术,因而成为诱人的目标。
十周前,VMware 发布了针对 ESXi、Workstation、Fusion和Cloud Foundation 的一系列严重漏洞的修复程序,这些漏洞最初是在 2023 年中国天府杯国际网络安全大赛中发现的。
