黑客竞赛揭露 VMware 安全性

快速阅读: 据《计算机周刊》最新报道，博通公司承认VMware虚拟化平台在Pwn2Own竞赛中遭三次成功攻击。尽管承诺补丁，但迁移至订阅模式可能造成安全缺口。比利时中心警告VMware Aria工具集漏洞风险，建议尽快修复，但旧版用户仍受威胁，具体细节和补丁范围尚不明朗。

博通公司的网络安全团队承认，在3月份柏林举行的Pwn2Own黑客竞赛中，VMware虚拟化平台遭遇了三次成功的攻击。3月16日，来自Star Labs的安全研究员阮黄塔克成功利用了VMware ESXi。博通公司Cloud Foundation部门的产品安全与事件响应团队成员普拉文·辛格和蒙蒂·伊泽尔曼在其官方网站上写道：“这是VMware ESXi首次在Pwn2Own黑客竞赛中被成功利用。”网络安全董事会首席执行官鲍勃·卡弗在领英上也提到，这是自2007年Pwn2Own赛事开始以来，首次成功利用虚拟机管理程序的案例。

3月17日，逆向战术的首席技术官科伦丁·贝亚特通过利用两个漏洞成功破解了ESXi。其中的一个漏洞已被公开。同一天，Synacktiv的安全专家托马斯·布祖拉和埃蒂安·埃尔吕完成了第三次成功攻击，他们成功利用了VMware Workstation。

辛格和伊泽尔曼表示，博通团队正在积极制定补救措施。“我们计划发布VMware安全公告，提供有关受影响产品的更新信息。”他们补充道。

尽管博通承诺为零日漏洞提供补丁，但其将客户迁移至VMware Cloud Foundation订阅模式的当前策略可能会让部分VMware用户面临安全缺口，尤其是当他们的支持合同即将到期时。

5月12日，博通发布了一项关键安全建议，编号为CVE-2025-22249，影响Aria工具集。比利时网络安全中心指出，由于该漏洞需要用户交互，若VMware管理员点击恶意URL链接，则可能通过网络钓鱼攻击加以利用。

比利时网络安全中心警告称：“如果用户登录其VMware Aria Automation账户，威胁行为者可完全控制其账户并执行用户有权进行的任何操作。此漏洞对受影响系统的安全性构成严重威胁，但对完整性的影响较小。”中心还敦促VMware用户“尽快修复”。

博通已经为VMware Aria Automation 8.18.x以及VMware Cloud Foundation版本5.x和4.x发布了补丁，但未提供任何临时解决方案，这意味着运行较旧版本工具的用户仍然处于风险之中。

具体细节尚未披露，关于这些补丁的分发范围仍存疑虑。

(以上内容均由Ai生成)