HackerNews 编译，转载请注明出处： Broadcom 发布了安全更新，以解决 VMware ESXi、Workstation 和 Fusion 产品中的三个被积极利用的安全漏洞，这些漏洞可能导致代码执行和信息泄露。 漏洞详情 CVE-2025-22224（CVSS 评分：9.3）：这是一个 TOCTOU（Time-of-Check Time-of-Use）漏洞，导致越界写入。具有虚拟机本地管理权限的恶意行为者可利用此漏洞在主机上以虚拟机的 VMX 进程身份执行代码。 CVE-2025-22225（CVSS 评分：8.2）：这是一个任意写入漏洞。具有 VMX 进程权限的恶意行为者可利用此漏洞实现沙盒逃逸。 CVE-2025-22226（CVSS 评分：7.1）：这是一个信息泄露漏洞，源于 HGFS 中的越界读取。具有虚拟机管理权限的恶意行为者可利用此漏洞泄露 vmx 进程的内存内容。 受影响版本及修复情况 VMware ESXi 8.0：修复版本为 ESXi80U3d-24585383 和 ESXi80U2d-24585300。 VMware ESXi 7.0：修复版本为 ESXi70U3s-24585291。 VMware Workstation 17.x：修复版本为 17.6.3。 VMware Fusion 13.x：修复版本为 13.6.3。 VMware Cloud Foundation 5.x：异步修复至 ESXi80U3d-24585383。 VMware Cloud Foundation 4.x：异步修复至 ESXi70U3s-24585291。 VMware Telco Cloud Platform 5.x, 4.x, 3.x, 2.x：修复版本为 ESXi 7.0U3s、ESXi 8.0U2d 和 ESXi 8.0U3d。 VMware Telco Cloud Infrastructure 3.x, 2.x：修复版本为 ESXi 7.0U3s。 Broadcom 在一份 FAQ 中承认，有信息表明这些漏洞在野外已被利用，但未详细说明攻击的性质或利用这些漏洞的威胁行为者的身份。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据Cyber Security News消息，11月18日，博通发布了紧急警告，称 VMware vCenter Server 中的两个关键漏洞现在正被广泛利用。 这两个漏洞包含一个CVSS评分达9.8分的远程代码执行 （RCE） 漏洞，被跟踪为 CVE-2024-38812。该漏洞源于 vCenter Server 实现 DCE/RPC 协议时的堆溢出问题，具有网络访问权限的攻击者可以通过发送特制数据包来触发此漏洞，从而可能导致远程代码执行和整个系统受损。 第二个漏洞被跟踪为CVE-2024-38813， CVSS 评分7.5，允许攻击者通过发送恶意构建的网络数据包将权限升级到根权限。 这两个漏洞最初是由 TZL 团队的研究人员 zbl 和 srs 在中国 2024 年矩阵杯黑客大赛期间发现并报告，受到影响的版本包括 VMware vCenter Server 7.0 和 8.0 版本以及 VMware Cloud Foundation 4.x 和 5.x 版本。 11月18日，博通发布了最新安全公告，指出 CVE-2024-38812 和 CVE-2024-38813 都已在野外被积极利用。鉴于这些漏洞的严重性和主动利用，博通强烈建议使用受影响的VMware 产品要立即应用最新的安全更新。 博通于 2024 年 9 月 17 日首次发布了针对这些漏洞的补丁，但值得注意的是，该公司在10月21日再度发布了补丁更新，指出先前的修复并不完整，强烈建议用户立刻更新最新的补丁。 目前最新的受影响产品修复版本包括： VMware vCenter Server 8.0：需更新到 8.0 U3d 版本 VMware vCenter Server 7.0：需更新到 7.0 U3t 版本 VMware Cloud Foundation 5.x：将异步修补程序应用于 8.0 U3d版本 VMware Cloud Foundation 4.x：将异步修补程序应用于 7.0 U3t版本 这一事件凸显了及时应用安全更新的重要性，尤其是对于 VMware vCenter Server 等关键基础架构组件。因此建议企业组织审查自身的VMware 部署，应用必要的补丁，并监控是否有任何泄露迹象。鉴于存在远程代码执行和权限提升的可能性，任何可能已暴露的系统都应经过全面的安全评估。     转自Freebuf，原文链接：https://www.freebuf.com/news/415580.html 封面来源于网络，如有侵权请联系删除

云计算巨头 VMware 本周警告称，存在影响 VMware vSphere 和 Cloud Foundation (VCF) 产品中服务器管理产品的新漏洞。 受影响的产品 VMware vCenter Server 提供了一个用于控制客户 vSphere 环境的集中平台。 周二，该公司发布了一份咨询和常见问题解答文件，概述了对CVE-2023-34048 的担忧，该漏洞的 CVSS 严重程度评分为 9.8（满分 10）。 该漏洞由趋势科技零日计划的 Grigory Dorodnov 发现，允许黑客攻击易受攻击的服务器。 VMware 指出，虽然在大多数公告中通常不会提及停产产品，但“由于此漏洞的严重性以及缺乏解决方法，VMware 已针对 vCenter Server 6.7U3、6.5U3 和 VCF 发布了普遍可用的补丁3.x”。 VMware指出，由于它影响了流行的vCenter Server，“影响范围很大”，客户应将其视为“紧急变化”，需要“迅速采取行动”。 该公司目前并不知道“野外”存在剥削行为。 Viakoo Labs 副总裁 John Gallagher 表示，该漏洞“非常严重”，因为 vCenter Server 是一个广泛使用的用于管理多个 VMware 实例的集中式平台，并被广泛的组织和工程团队使用。 “成功利用此 CVE 可以完全访问环境，并启用远程代码执行以进行进一步利用。从 VMware 为较旧的、已终止支持/终止生命版本的产品发布补丁的方式可以看出这种情况的严重性。”Gallagher 说。 “考虑到使用的广泛性以及旧版本仍在使用的情况，修补可能需要一些时间，从而使‘漏洞之窗’打开一段时间。” Qualys 威胁研究总监 Irfan Asrar 支持 Gallagher 的评估，并警告说受影响的产品是“全球大型企业客户非常普遍的应用程序”。 “鉴于这是一个严重程度较高的远程代码利用，组织应该非常认真地对待这一问题，特别是在当前的地缘政治气候下，”阿斯拉尔补充道。“除了作为勒索软件载体的明显用例之外，这还可以用于黑客活动议程上的威胁行为者发送消息。” 勒索软件团伙有针对 VMWare vCenter 服务器进行攻击的历史，其中多个团伙使用 Log4Shell 攻击来追查产品。     转自安全客，原文链接：https://www.anquanke.com/post/id/291039 封面来源于网络，如有侵权请联系删除

VMware已经发布了安全更新，以修复Aria Operations for Networks中可能导致信息泄露和远程代码执行的三个漏洞。 这三个漏洞中最关键的是一个被追踪为CVE-2023-20887的命令注入漏洞（CVSS评分：9.8），它可以让具有网络访问权限的恶意行为者实现远程代码执行。 同样被VMware修补的还有另一个反序列化漏洞（CVE-2023-20888），在CVSS评分系统中被评为9.1分，最高分是10分。 该公司在一份公告中说：拥有对VMware Aria Operations for Networks的网络访问权的的恶意行为者能够进行反序列化攻击，导致远程代码执行。 第三个安全漏洞是一个高严重度的信息披露漏洞（CVE-2023-20889，CVSS评分：8.8），可以允许具有网络访问权限的攻击者执行命令注入攻击并获得对敏感数据的访问。 这三个影响VMware Aria Operations Networks 6.x版本的漏洞已在以下版本中得到修复： 6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9和6.10。请及时更新。 在发出警报的同时，思科还对其Expressway系列和网真视频通信服务器（VCS）中的一个关键漏洞进行了修复，该漏洞可以允许具有管理员级别只读凭证的认证攻击者在受影响的系统上将其权限提升到具有读写凭证的管理员。 思科表示，这个特权升级漏洞（CVE-2023-20105，CVSS评分：9.6）源于对密码更改请求的不规范处理，从而允许攻击者改变系统上任何用户的密码，包括管理读写用户，然后冒充该用户。 同一产品中的第二个高危漏洞（CVE-2023-20192，CVSS评分：8.4）可以允许一个经过验证的本地攻击者执行命令和修改系统配置参数。 作为CVE-2023-20192的解决方法，思科建议用户禁止只读用户的CLI访问。目前这两个漏洞已分别在VCS 14.2.1和14.3.0版本中得到解决。 虽然没有证据表明上述任何漏洞在野外被滥用，但仍强烈建议尽快更新到安全的版本以减少潜在风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368976.html 封面来源于网络，如有侵权请联系删除

2020年以来，意图发起“狩猎大型猎物”（BGH）攻击的网络犯罪团伙越来越多地针对VMware ESXi vSphere管理程序，部署专门设计的Linux版本勒索软件。 美国安全公司CrowdStrike观察到，这一趋势持续到了2023年第一季度，Alphv、Lockbit和Defray（CrowdStrike内部代号为ALPHA SPIDER、BITWISE SPIDER、SPRITE SPIDER）等勒索软件即服务（RaaS）平台均被用来攻击ESXi。 鉴于ESXi本身设计上不支持第三方代理或反病毒软件，并且VMware在其文档中明确表示不需要反病毒软件，这一趋势尤其值得注意。ESXi是一种广泛使用的虚拟化和管理系统，这使得它对网络犯罪团伙极具吸引力。 ESXi是什么？ ESXi是VMware开发的裸机虚拟机管理器（Type-1类型）。虚拟机管理器是一种管理虚拟机的软件。与运行在传统操作系统上的托管虚拟机管理器（Type-2类型）相比，裸机虚拟机管理器直接运行在专用主机硬件上，性能更佳，主要用于数据中心、云服务等场景。 ESXi系统通常由vCenter管理，vCenter是一个集中的服务器管理工具，可以控制多个ESXi设备。尽管ESXi不是Linux操作系统，但在ESXi命令行程序中可以运行一些Linux编译的ELF二进制文件。 与ESXi平台相关的几个重要的VMware产品包括： ESXi（或vSphere虚拟机管理器）：作为服务器，包括虚拟机管理器组件、身份和管理组件以及与服务器硬件相关的资源管理组件； vCenter：身份和管理组件，以及用于一组ESXi服务器的完整资源管理器； ONE Access（或Identity Manager）：提供单点登录（SSO）解决方案，用于连接到vCenter或ESXi； Horizon：VMware的全面虚拟架构管理解决方案。 ESXi安全现状 VMware建议：“vSphere虚拟机管理器不需要使用防病毒软件，也不支持使用此类软件。” 除了缺乏ESXi安全工具外，网络犯罪团伙还积极利用了一些漏洞。2023年2月，法国计算机应急响应小组（CERT-FR）报告了一起勒索软件攻击事件，追踪代号为ESXiArgs。该攻击事件针对的是易受CVE-2020-3992或CVE-2021-21974漏洞影响，暴露于互联网的VMware ESXi虚拟机管理器。 这两个漏洞都针对ESXi虚拟机管理器中的OpenSLP服务。CVE-2021-21974允许未经身份验证的相邻网络攻击者在受影响的VMware ESXi实例上执行任意代码，但此前尚未被实际利用。CVE-2020-3992已被在野利用，它允许未经身份验证的对手在管理网络中的ESXi机器上访问端口427，并触发OpenSLP服务中的使用后释放问题，导致远程代码执行。 此前的公开报告还确认了CVE-2019-5544被实际利用，它同样影响了OpenSLP服务，并支持在受影响系统上执行远程代码。 在公开报告的CVE-2020-3992和CVE-2021-21974实际利用案例中，威胁行为者部署了一个名为vmtools.py的Python后门，存放在文件路径/store/packages/；这个文件名和文件路径与一个用户在公开论坛上分享的与当前ESXiArgs活动相关的行程序脚本的内容相匹配。 威胁态势正在恶化 由于在虚拟化领域中占据主导地位，VMware的产品线通常是组织的IT基础设施虚拟化和管理系统的关键组成部分，因此VMware虚拟基础架构产品对攻击者具有很大的吸引力。 越来越多的网络犯罪团伙意识到，缺乏安全工具、接口缺乏充分的网络分段以及被实际利用漏洞使ESXi成为一个诱人的攻击环境。 例如，2023年4月，CrowdStrike发现了一个名为MichaelKors的新的勒索软件即服务程序，为附属团队提供针对Windows和ESXi/Linux系统的勒索软件二进制文件。其他能够针对ESXi环境进行攻击的勒索软件服务平台也在浮出水面，如Nevada勒索软件。 2022年9月末，Mandiant研究人员发现并披露了一个主要针对VMware ESXi和VMware vCenter服务器的新型恶意软件生态系统，它部署为恶意远程管理工具（RAT）。该远程管理工具可在受感染服务器上持久化运行，并与底层虚拟机进行交互、提取敏感信息。 在2022年末，CrowdStrike观察到ALPHA SPIDER使用Cobalt Strike变体对ESXi服务器进行后渗透活动，并使用SystemBC变体通过受感染的vCenter服务器在网络中持久运行。此外，SCATTERED SPIDER利用开源代理工具rsocx持续访问受害者的ESXi服务器。 CrowdStrike评估发现，很多知名网络犯罪团伙在不同行业和地区使用Log4Shell (CVE-2021-44228) 攻击VMware Horizon实例，包括NEMESIS KITTEN、SILENT CHOLLIMA以及PROPHET SPIDER等。 针对虚拟基础架构组件实施攻击具有诸多优势。目标组件通常没有得到足够的安全保护，放大了单次入侵的影响或帮助规避检测和防范机制。VMware产品过去曾受到关键漏洞的影响，攻击者可能会继续针对任何潜在弱点进行攻击。入侵成功通常能获得高价值资源的访问权限。 攻击向量 凭证窃取 对ESXi 虚拟机管理程序最直接的攻击向量是窃取用户凭证。在窃取凭证后，攻击者可以轻松通过服务器的身份验证，根据攻击者的目的推进攻击。如果攻击者获得足够的权限，可以启用和访问SSH控制台，甚至能直接执行任意代码，即使在最新版ESXi上也是如此。 如果被入侵的账户具备访问虚拟机网络管理功能的权限，攻击者可以将虚拟机重新配置为代理，用于访问内部网络。此外，如果被入侵的账户仅提供对一组虚拟机的访问权限，攻击者可以针对影响虚拟化操作系统的配置弱点或漏洞，以侵入目标网络。 一旦权限有限的攻击者成功访问了ESXi服务器，从初始访问到实现实际目标之间，需要权限升级这一关键中间步骤。CVE-2016-7463、CVE-2017-4940和CVE-2020-3955等跨站脚本攻击（XSS）漏洞可以作为欺骗特权用户执行代码的手段进行攻击。例如，CVE-2020-3955首先将恶意载荷嵌入虚拟机属性（例如主机名）中，然后欺骗系统管理员通过VMware管理界面访问这些恶意属性。据目前所知，这些XSS漏洞没有被用于实际攻击。另外，还存在CVE-2021-22043这种权限升级漏洞，它允许具备访问设置权限的用户升级权限；然而，截至本文撰写时，尚无公开可用的针对此漏洞的概念验证（POC）代码或武器化利用代码。CrowdStrike也没有了解到涉及这一特定漏洞的实际攻击活动。 根据行业报道，凭证窃取似乎是攻击者针对ESXi服务器的主要攻击向量。此外，CrowdStrike观察到的案例表明，攻击者通常通过其他手段获取对目标网络的访问权限，然后尝试收集ESXi凭证以达到最终目标，如部署勒索软件；所有这些案例中，攻击者窃取的凭证具备足够的特权，使其可以直接执行任意代码。 虚拟机访问 如上文介绍，虚拟机可以通过两种方式访问：直接访问或通过ESXi管理界面访问。两种方式的凭证窃取过程类似，在此不再重复。 如果可以直接访问虚拟机，则可能存在以下两种情况： 如果虚拟机与内部网络的其余部分没有足够的隔离，它可能作为在网络中横向移动的代理，导致无需对ESXi服务器发起攻击。 如果网络的唯一入口是一个可访问的、正确隔离的虚拟机，攻击者无法对网络进一步渗透，必须直接在ESXi虚拟机管理器级别上运行代码。攻击者必须掌控ESXi 虚拟机管理器，因为管理器到网络中其他机器存在网络路径。为了从虚拟机攻击底层虚拟机管理器，攻击者一般需要利用虚拟机逃逸漏洞。 实现虚拟机逃逸有两种方法：第一种是攻击虚拟机管理器虚拟化组件，比如利用影响虚拟机管理器硬件仿真组件的漏洞。这通常需要掌握虚拟机内核级权限，即需要利用额外的漏洞攻击虚拟机。第二种方法是利用通过网络可达的影响虚拟机管理器的漏洞，并使用虚拟机向虚拟机管理器传输恶意网络数据包。 在大约40个可能通过虚拟化组件实现虚拟机逃逸的漏洞中，只有两个漏洞（CVE-2012-1517和CVE-2012-1516）针对旧版本的ESXi（3.5至4.1）中的虚拟机与虚拟机管理器之间的通信组件。所有其他漏洞都针对模拟设备，如USB（CVE-2022-31705，CVE-2021-2    2041，CVE-2021-22040）、CD-ROM（CVE-2021-22045）或SVGA（CVE-2020-3969，CVE-2020-3962）。 自ESXi 6.5版本引入VMX沙箱以来，利用ESXi虚拟化组件进行虚拟机逃逸攻击至少涉及三个不同的漏洞利用，如下所示： 攻击者通过第一个漏洞在内核级别上入侵虚拟机。 然后，攻击者通过第二个漏洞针对虚拟机内的设备，以在VMX进程中执行代码。 攻击者随后执行第三个漏洞利用，实现VMX沙箱的逃逸。 最后，攻击者可能需要第四个漏洞利用来提升在虚拟化管理器上的权限。 截至目前，公开的这种漏洞链的概念验证代码不存在，有关这类漏洞的文档也很少。由于此类攻击的复杂性，只有高级的行动者，如国家级对手，可能具备所需的能力。 如何保护虚拟机集群？ CrowdStrike提供了五项重要建议，各组织应该实施这些措施，降低虚拟化管理器被攻击的概率或攻击影响。 避免直接访问ESXi主机。使用vSphere客户端管理vCenter服务器所辖ESXi主机。不要使用VMware主机客户端直接访问受管主机，也不要通过直接控制台用户界面更改受管主机。（注：这是VMware特定的建议。） 如果有必要直接访问ESXi主机，请使用具备多因素验证、经过加固的跳板服务器。ESXi访问应仅限于用于管理目的或特定权限目的的跳板服务器，该服务器具有完整的审计功能，并启用了多因素身份验证。应实施网络分段，确保只能从跳板服务器出发访问ESXi或vCenter的任何SSH、Web UI和API。此外，应禁用SSH访问，对任何启用SSH访问的操作发出警报并进行紧急调查。 确保vCenter不通过SSH或HTTP暴露在互联网上。CrowdStrike观察到对手使用有效帐户或利用RCE漏洞（例如CVE-2021-21985）获取对vCenter的初始访问权限。虽然VMware已经解决了这些漏洞，为了减轻风险，但这些服务不应暴露在互联网上。 确保ESXi数据存储卷定期备份。虚拟机磁盘镜像和快照应每天备份（如果可能，更频繁地备份）到离线存储提供商。勒索软件事件中，安全团队应具备从备份中恢复系统的能力，并防止备份本身被加密。 如果发现或怀疑备份正在进行加密，并且无法访问备份以终止恶意进程，可以物理断开ESXi主机的存储连接，甚至切断ESXi主机的电源。威胁行为者在获取访问权限后，通常会更改根密码，将管理员锁在系统之外。尽管物理断开磁盘连接可能会引发问题，或丢失尚未写入后端存储的数据，但它将阻止勒索软件继续加密VMDK文件。关闭虚拟机客户机将无济于事，因为加密是在虚拟化管理器本身上进行的。ESXi的勒索软件通常具有关闭虚拟机客户机的功能，可以解锁磁盘文件并进行加密。 更多ESXi安全建议可在VMware网站上查阅。 结论 基于下列事实：各组织日益使用虚拟化技术将工作负载和基础架构转移到云环境；VMware在企业虚拟化解决方案领域占据主导地位；安全公司追踪到网络犯罪团伙频繁针对虚拟化产品发动攻击。CrowdStrike认为，攻击者很可能会继续针对基于VMware的虚拟化基础架构进行攻击。 凭据窃取是针对基础架构管理和虚拟化产品的最直接的攻击向量。由于 VMware 产品过去曾受到重要漏洞的影响，攻击者和行业研究人员很可能会继续研究并发现未来的潜在弱点。值得注意的是，VMware于2022年10月15日停止对ESXi 6.5、6.7 和 vSphere 6.5、6.7 的一般支持，基本上不再对这些产品进行安全更新。 因为虚拟化技术通常是组织IT基础架构中至关重要的一部分，定期应用安全更新并进行安全态势审查非常关键，即使这些过程会影响网络服务和组件的可用性也必须落实。 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/TmmoaE4FigvR26rGbsl8mA 封面来源于网络，如有侵权请联系删除

据BleepingComputer 2月3日消息，法国计算机紧急响应小组(CERT-FR) 近日发出警告，攻击者正通过一个远程代码执行漏洞，对全球多地未打补丁的 VMware ESXi 服务器部署新型ESXiArgs 勒索软件。 据悉，该漏洞编号为CVE-2021-21974，由 OpenSLP 服务中的堆溢出问题引起，未经身份验证的攻击者可以此进行低复杂度攻击。该漏洞主要影响6.x 版和 6.7 版本之前的 ESXi 管理程序，2021年2月23日 ，VMware曾发布补丁修复了该漏洞。对于还未打补丁的服务器，须在管理程序上禁用易受攻击的服务定位协议 (SLP) 服务。 新型ESXiArgs 勒索软件 对此轮攻击的研究，重点并不在于围绕这个已揭露两年的漏洞，而在于新型勒索软件ESXiArgs的出现。根据Shodan 搜索，全球至少有 120 台 VMware ESXi 服务器已在此勒索软件活动中遭到破坏。 BleepingComputer 发现，勒索软件在受感染的 ESXi 服务器上使用 .vmxf、.vmx、.vmdk、.vmsd 和 .nvram 扩展名加密文件，并为每个包含元数据（可能需要解密）的加密文档创建了一个.args文件。虽然攻击者声称窃取了数据，但有受害者反馈，通过对有超过500GB数据的服务器的流量分析，被攻击期间使用量仅为 2 Mbps。在审查了过去 90 天的流量统计数据后，没有发现出站数据的证据转移，因而认为数据没有被渗透。 有受害者还在锁定的系统上发现了名为“ransom.html”和“How to Restore Your Files.html”的赎金票据。其他受害者则反馈他们的票据是明文文件。 ESXiArgs 赎金票据 技术细节 研究人员在BleepingComputer论坛分享了在检索 ESXiArgs 加密器和相关 shell 脚本副本后的发现，当服务器被破坏时，会在 /tmp 文件夹中存储如下文件： encrypt– 加密器 ELF 可执行文件。 encrypt.sh– 作为攻击逻辑的 shell 脚本，在执行加密器之前执行各种任务。 public.pem– 用来加密文件的RSA公钥。 motd– 文本形式的赎金票据，将被复制到 /etc/motd，以便在登录时显示。服务器的原始文件将被复制到 /etc/motd1。 index.html– HTML 格式的赎金票据，将取代 VMware ESXi 的主页。服务器的原始文件将被复制到同一文件夹中的 index1.html。 在分析了加密器后，研究人员没能从中发现可破解的密码学漏洞。加密器使用OpenSSL的安全CPRNG RAND_pseudo_bytes生成32个字节的密钥，并使用安全流密码Sosemanuk加密文件。文件密钥用RSA（OpenSSL的RSA_public_encrypt）进行加密，并附加到文件的末尾。Sosemanuk 算法的使用相当独特，通常只用于从 Babuk（ESXi 变体）源代码派生的勒索软件。 此分析表明 ESXiArgs 可能采用了泄露的Babuk 源代码，该源代码之前已被其他 ESXi 勒索软件活动使用，例如 CheersCrypt 和 Quantum/Dagon 的 PrideLocker 加密器。 加密器由一个 Shell 脚本文件执行，该脚本文件使用各种命令行参数启动，包括公共 RSA 密钥文件、要加密的文件、不会加密的数据块、加密块的大小和文件尺寸。加密器使用 encrypt.sh shell 脚本启动，该脚本充当攻击背后的逻辑。启动时，脚本将执行以下命令来修改 ESXi 虚拟机的配置文件 (.vmx)，以便将字符串“ .vmdk” 和“ .vswp” 更改为“ 1.vmdk” 和“ 1.vswp ”。 修改VMX文件 接下来，该脚本将强制结束 (kill -9) 所有包含字符串“ vmx ”的进程，从而终止所有正在运行的虚拟机。随后将使用“esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F'  ' '{print $2}”命令获取 ESXi卷列表，搜索与.vmdk、.vmx、.vmxf、.vmsd、.vmsn、.vswp、.vmss、.nvram、.vmem扩展名匹配的文件。每找到一个文件，脚本将在同一文件夹中创建一个 [file_name].args 文件，其中包含计算出的大小步长、“1”和文件大小，例如，server.vmx 将有一个关联的 server.vmx.args 文件。之后，脚本将使用’encrypt’可执行文件，根据计算出的参数对文件进行加密。 创建.args文件和加密文件的例程 加密后，脚本将用赎金票据替换 ESXi index.html 文件和服务器的 motd 文件。最后，该脚本将删除似乎安装到/store/packages/vmtools.py[ VirusTotal ] 的后门，并从以下文件中删除多行： /var/spool/cron/crontabs/root /bin/hostd-probe.sh /etc/vmware/rhttpproxy/endpoints.conf /etc/rc.local.d/local.sh 清理各种 Linux 配置文件和潜在后门 这种清理和对 /store/packages/vmtools.py的应用与瞻博网络（juniper）在 2022 年 12 月观察到的 ESXi 服务器的自定义 Python 后门非常相似 。为此所有服务器管理员都应该检查此 vmtools.py 文件是否存在，以确保它已被删除。     转自 Freebuf，原文链接：https://www.freebuf.com/news/356626.html 封面来源于网络，如有侵权请联系删除  

Bleeping Computer  网站披露，VMware 近期发布了安全更新，以解决 Workspace ONE Assist 解决方案中的三个严重漏洞，分别追踪为 CVE-2022-31685（认证绕过）、CVE-2022-31686 （认证方法失败）和 CVE-2022-31687 （认证控制失败）。据悉，这些漏洞允许远程攻击者绕过身份验证并提升管理员权限。 Workspace ONE Assist  可以提供远程控制、屏幕共享、文件系统管理和远程命令执行，以帮助服务后台和 IT 人员从 Workspace ONE 控制台实时远程访问设备并排除故障。 未经身份认证的威胁攻击者可以在不需要用户交互进行权限升级的低复杂度攻击中利用这些漏洞。从 VMware 发布的声明来看，一旦具有 Workspace ONE Assist 网络访问权限的恶意攻击者成功利用这些漏洞，无需对应用程序进行身份验证就可以获得管理访问权限。 漏洞现已修复 目前，VMware为Windows 已经为客户发布了 Workspace ONE Assist 22.10（89993），对这些漏洞进行了修补。 此外，VMware 还修补了一个反射式跨站脚本（XSS）漏洞（CVE-2022-31688）以及一个会话固定漏洞（CVE-2022-31689），前者允许攻击者在目标用户的窗口中注入 javascript 代码，，后者允许攻击者获得有效会话令牌后进行身份验证。 值得一提的是，Workspace ONE Assist 22.10 版本修补的所有漏洞都是由 REQON IT-Security的Jasper Westerman、Jan van der Put、Yanick de Pater 和 Harm Blankers 发现并报告给 VMware 的。 VMware 修复了多个安全漏洞 今年 8 月，VMware 警告管理员要修补 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中另外一个关键身份认证绕过安全漏洞，该漏洞允许未经认证的攻击者获得管理权限。 同年 5 月，Mware 修补了一个几乎相同的关键漏洞，该漏洞是 Innotec Security的Bruno López 在 Workspace ONE Access、VMware Identity Manager（vIDM）和vRealize Automation 中发现的另一个身份验证绕过漏洞（CVE-222-22972）。 转自 Freebuf，原文链接：https://www.freebuf.com/news/349339.html 封面来源于网络，如有侵权请联系删除

Lansweeper 盘点的超过 45,000 台 VMware ESXi 服务器刚刚达到使用寿命 (EOL)，除非公司购买扩展支持合同，否则 VMware 将不再提供软件和安全更新。 自 2022 年 10 月 15 日起，VMware ESXi 6.5 和 VMware ESXi 6.7 已结束生命周期，将仅获得技术支持而不会获得安全更新，从而使软件面临漏洞风险。该公司分析了来自 6,000 名客户的数据，发现安装了 79,000 台 VMware ESXi 服务器。 在这些服务器中，36.5% (28,835) 运行2018年4月发布的6.7.0版，21.3% (16,830) 运行2016年11月发布的6.5.0版。总共有45,654台 VMware ESXi 服务器即将结束生命。 Lansweeper 的调查结果令人担忧，除了57%进入高风险时期外，还有另外15.8%的安装运行更旧的版本，从3.5.0到5.5.0很久以前就达到了EOL . 目前，Lansweeper盘点的ESXi服务器中只有大约四分之一 (26.4%) 仍受支持，并将继续定期接收安全更新，直到2025年4月2日。 然而，实际上，今天达到EOL的VMware服务器数量可能要大得多，因为该报告仅基于 Lansweeper 的客户。 ESXi 6.5 和 6.7 的技术指南将持续到2023年11月15日，但这涉及实施问题，不包括安全风险缓解。 为了确保可以继续安全使用旧版本的唯一方法是申请两年延长支持，该支持需要单独购买。但是，这不包括第三方软件包的更新。 有关所有 VMware 软件产品的 EOL 日期的更多详细信息，请查看原文链接。 这意味着什么？ 当软件产品达到生命周期结束日期时，它会停止接收定期安全更新。这意味着管理员应该已经提前计划并将所有部署升级到更新的版本。 尽管 VMware 仍会为这些旧版本提供一些关键的安全补丁并非不可能，但它不能保证并且肯定不会为所有发现的新漏洞发布补丁。 一旦不受支持的 ESXi 服务器在没有补丁的情况下运行了足够长的时间，它就会积累如此多的安全漏洞，攻击者将有多种方法来破坏它。 由于 ESXi 托管虚拟机，攻击服务器可能会对业务运营造成严重和大规模的破坏，这就是勒索软件团伙如此专注于攻击它的原因。 今年，ESXi VM 成为 Black Basta、RedAlert、GwisinLocker、Hive和 Cheers 勒索软件团伙之类的目标。 最近，Mandiant 发现黑客发现 了一种在 VMware ESXi 虚拟机管理程序上建立持久性的新方法 ，可以让他们控制服务器和托管的虚拟机而不被发现。 但是，ESXi 已经受到威胁参与者的充分关注，因此运行该软件的过时且易受攻击的版本无疑是一个糟糕的主意。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/dMsR7mQxNdJ0hv-mTg5bOg 封面来源于网络，如有侵权请联系删除

据Bleeping Computer消息，VMware于10月11日通知客户，vCenter Server 8.0（最新版本）仍在等待补丁来解决 2021 年 11 月披露的高严重性特权提升漏洞。 该安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA（集成 Windows 身份验证）机制中发现，影响范围涉及到了 VMware 的 Cloud Foundation 混合云平台部署，具有非管理访问权限的攻击者可以利用漏洞，在未打补丁的服务器上将权限提升到更高权限组。 VMware 表示，只有使用与目标服务器相邻的向量网络的攻击者才能利用此漏洞作为高复杂性攻击的一部分，该攻击需要低权限且无需用户交互（但是NIST NVD 的 CVE-2021-22048 条目表示它可以远程利用低- 复杂性攻击）。 尽管如此，VMware 仍将该漏洞的严重性评估为“重要”， 这意味着通过用户协助或经过验证的攻击者能利用漏洞泄露用户数据。 尽管该公司在 2022 年 7 月发布安全更新，但仅解决了当时运行最新可用版本（vCenter Server 7.0 Update 3f）的服务器漏洞，即便如此，该补丁也在发布 11 天后被撤回，因为它没有修复漏洞并导致 Secure打补丁时令牌服务 (vmware-stsd) 崩溃。 补丁发布之前的解决方法 尽管所有受影响产品都还在苦苦等待补丁的到来，但 VMware 提供了一种解决方法，允许管理员删除攻击媒介。 为了阻止攻击尝试，VMware 建议管理员从受影响的集成 Windows 身份验证 (IWA) 切换到 Active Directory over LDAPs 身份验证或 AD FS 身份提供程序联合身份验证（仅限 vSphere 7.0）。 转自 Freebuf，原文链接：https://www.freebuf.com/news/346632.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： VMware本周发布了补丁，以解决VMware Tools实用工具套件中的一个严重漏洞，该漏洞被跟踪为CVE-2022-31676。 VMware Tools是一组服务和模块，支持公司产品中的多项功能，以便更好地管理客户机操作系统，并与客户机操作系统进行无缝用户交互。 对客户机操作系统具有本地非管理访问权限的攻击者可以触发CVE-2022-31676漏洞，从而提升受损系统上的权限。 通报中写道：“VMware Tools受到本地权限提升漏洞的影响，对客户机操作系统具有本地非管理访问权限的黑客可以作为虚拟机中的root用户提升权限。” 该漏洞影响了Windows和Linux平台上的工具，该公司发布的固定版本是12.1.0和10.3.25。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文