满分漏洞,零门槛利用
6月22日,VMware发布安全通告VMSA-2023-0013,确认旗下Aria Operations for Networks产品(前身为vRealize Network Insight)存在一个远程代码执行漏洞,编号CVE-2023-20887。
CVSS评分:10.0——这是漏洞评分体系中的最高等级。
更令安全团队警觉的是,VMware在通告中明确表示:该漏洞已被在野利用。
这意味着,在补丁发布之前,已经有攻击者利用这个漏洞对真实目标发起了攻击。
漏洞原理:SSH密钥被"借"走了
CVE-2023-20887的本质是Aria Operations for Networks的SSH服务存在权限验证绕过。未经身份验证的攻击者可以通过网络访问该设备的SSH服务,利用漏洞以root权限执行命令,从而完全控制目标设备。
该漏洞影响Aria Operations for Networks 6.x版本的多个构建版本。由于Aria Operations for Networks在企业网络中通常部署为核心网络监控和分析平台,掌握着整个网络拓扑、流量数据和配置信息,一旦沦陷,攻击者获得的不只是一台服务器——而是整个企业网络的"上帝视角"。
绿盟、360等安全厂商紧急响应
漏洞披露后,国内主要安全厂商迅速跟进。绿盟威胁情报中心在周报中将CVE-2023-20887列为本周头号热点,360CERT也发布了专项通告。
由于该设备通常在企业网络中享有较高的网络访问权限,攻击者可以利用被控设备作为跳板,进一步横向移动,渗透内网中的其他系统。这种"从基础设施监控平台反噬整个网络"的攻击路径,在高级持续性威胁(APT)攻击中屡见不鲜。
VMware:漏洞"常客"还是行业缩影?
这并非VMware第一次因严重漏洞登上安全头条。
2021年,VMware vCenter的CVE-2021-21985(CVSS 9.8)和CVE-2021-22005(CVSS 9.8)接连被曝出在野利用;2022年,VMware Workspace ONE Access的CVE-2022-22972、CVE-2022-22973、CVE-2022-22974组合漏洞同样被大规模利用。
VMware产品在企业基础设施中的深度嵌入,使其成为攻击者眼中的高价值目标。每一次VMware的满分漏洞,都意味着数以万计的企业需要在补丁发布的第一时间完成升级——而在实际操作中,大量组织的补丁周期远没有这么快。
企业基础设施的"阿喀琉斯之踵"
CVE-2023-20887再次揭示了一个行业性困境:企业对基础设施软件的依赖越深,单一漏洞的爆炸半径就越大。
Aria Operations for Networks不是面向互联网的前端应用,但它部署在企业网络的核心位置。一旦攻击者通过其他途径获得初始立足点,或者利用像CVE-2023-20887这样的直接远程利用漏洞,就能以最小的攻击成本获取最大的控制权。
对于安全团队而言,这类漏洞的应对策略已经相对成熟:立即升级至修复版本,检查SSH访问日志中的异常活动,审查设备上的用户和密钥变更记录。但"知道该做什么"和"能在24小时内完成"之间,往往隔着巨大的执行鸿沟。