VMware 重大漏洞（CVE-2024-XXXXX）正被攻击者积极利用

VMware 重大漏洞遭到积极利用

安全研究人员已确认，VMware 产品中存在的一个严重漏洞正被威胁行为者积极利用。该漏洞编号为 CVE-2024-XXXXX（正式披露前暂用 ID），可通过精心构造的网络数据包实现远程代码执行（RCE），对未修补的系统构成严重威胁。

技术细节

该漏洞影响 VMware 的面向网络组件，允许未经身份验证的攻击者以提升权限执行任意代码。虽然具体技术细节仍处于保密状态，但早期报告显示，该漏洞源于 VMware 数据包处理机制中的输入验证不当。由于利用过程无需用户交互，因此对暴露在外的实例尤为危险。

• CVSS 评分：严重（具体评分待定）
• 攻击向量：基于网络（远程利用）
• 所需权限：无
• 用户交互：无
• 影响：系统完全被控，存在横向移动风险

影响分析

CVE-2024-XXXXX 正被积极利用，这意味着依赖 VMware 进行虚拟化和云基础设施的组织面临高风险。成功的攻击可能导致：

• 完全接管易受攻击的 VMware 主机
• 数据泄露或通过后续勒索软件攻击加密数据
• 横向移动，渗透企业内部网络
• 供应链风险，尤其是在托管服务提供商（MSP）环境中被利用时

《SecurityWeek》消息人士透露，概念验证（PoC）漏洞利用代码可能已在暗网论坛传播，进一步加速了大规模攻击的时间表。

安全团队建议措施

1. 立即修补：一旦 VMware 发布官方安全更新，立即应用。密切关注 VMware 安全公告页面 的更新。
2. 网络隔离：将 VMware 管理接口与不受信任的网络（包括互联网）隔离。
3. 增强监控：部署入侵检测/防御系统（IDS/IPS），监测针对 VMware 服务的异常网络流量。
4. 最小权限访问：限制仅授权人员访问 VMware 管理控制台。
5. 事件响应规划：通过审查和更新事件响应手册，做好潜在入侵的应对准备，纳入 VMware 相关场景。

VMware 尚未发布补丁，但建议各组织将此视为零日漏洞，在修复程序发布前采取补偿性控制措施。预计未来几天将公布更多技术细节和缓解指南。

原文报道由 Ionut Arghire 为 SecurityWeek 撰写。