VMware近期发布两则资安公告,针对虚拟化平台、混合云平台发布修补程式,这次总共修补7项漏洞,有4项是较为危险的高风险漏洞,而引起注意。
比较值得留意的是,其中3项高风险漏洞皆与VMware Cloud Foundation有关,而且有部分漏洞只要能透过特定的连结埠存取就能触发,因此IT人员要尽速采取行动。
【攻击与威胁】
5月13日资安业者Ivanti修补Endpoint Manager Mobile(EPMM)身分验证绕过漏洞CVE-2025-4427、远端程式码执行(RCE)漏洞CVE-2025-4428,并透露已有用户遭到攻击的现象,如今资安业者Wiz针对上述漏洞说明细节,并指出虽然其CVSS风险值仅有5.3、7.2,但只要被串连利用,就会变得非常危险。
而对于骇客串连上述漏洞的攻击行动,Wiz提及有4种,分别是散布渗透测试工具Sliver、窃取MySQL资料库内容,以及上传Web Shell或是反向Shell,这些活动从5月16日开始,大约是概念验证程式码(PoC)公开后不久就发生。
其中,他们提及使用Sliver的骇客,不久前也曾使用相同的C2伺服器,针对防火墙作业系统PAN-OS资安漏洞CVE-2024-0012、CVE-2024-9474(风险值为9.3、6.9)从事攻击行动。
资安厂商ReversingLabs研究人员揭露,一款名为solana-token的恶意Python套件伪装为Solana区块链开发工具,上架至PyPI开源函式库,锁定加密货币专案开发人员,企图窃取原始码及潜藏的敏感资讯。
ReversingLabs 2025年软体供应链安全报告指出,2024年共发现23起针对加密货币应用及基础设施的恶意供应链活动,而此次solana-token事件正是相关攻击的最新案例。研究人员表示,该恶意套件虽名为solana-token,并未提供完整功能说明,却以开发工具之名诱使Solana生态系开发者下载安装,进而执行资料窃取行为。
一旦开发人员安装了solana-token,其内部程式会自动扫描开发环境,读取Python执行堆叠中涉及的所有档案,并将搜集到的原始码与潜在机密资讯,如金钥、助记词组(Mnemonic Phrase)等,传送至指定IP位址。该套件下载次数超过600次,显示攻击行动已具实际传播风险。
其他攻击与威胁
◆本周二(5月20日)VMware发布资安公告,针对旗下的ESXi、Cloud Foundation等多项产品修补资安弱点。
根据CVSS风险评分高低,最严重的是CVE-2025-41225,此为通过使用者身分验证后的命令执行漏洞,攻击者在通过系统身分验证、取得特殊权限的情况下,借由产生或窜改警示通知并执行指令码形式的动作,就有可能触发这项弱点,并在vCenter Server执行任意命令,CVSS风险为8.8,影响vCenter Server 7.0及8.0、VMware Cloud Foundation (vCenter) 4.5.x与5.x、VMware Telco Cloud Platform (vCenter) 2.x至5.x、VMware Telco Cloud Infrastructure (vCenter) 2.x与3.x,值得留意的是,除了套用相关更新软体之外,没有其他缓解措施。
其余几项高风险漏洞CVE-2025-41229、CVE-2025-41230、CVE-2025-41231,主要影响VMware Cloud Foundation 4.5.x及5.x版,这些弱点涉及资料夹穿越、资讯泄露、缺乏身分验证,风险值为8.2、7.5、7.3。
本周三(5月21日)微软宣布,他们与国际执法机构及资安业者的合作,摧毁了已感染逾39.4万台Windows电脑的Lumma恶意程式网路。
微软指出,从今年的3月16日至5月16日之间,该公司发现全球有超过39.4万台的Windows电脑感染了Lumma;其数位犯罪部门(Digital Crimes Unit,DCU)在5月13日便提出了诉讼,并在取得法院同意后,接管与封锁约2,300个恶意网域,而它们正是Lumma基础设施的骨干。在恶意网域被接管之后,受害装置企图连至C&C伺服器时,便会被导至微软的安全伺服器。
同一期间,美国司法部也扣押了Lumma的中央指挥机构,并破坏Lumma销售市集。根据司法部的说明,该单位扣押了5个Lumma的关键网域名称,它们是Lumma的控制面板,用以让Lumma客户登入以部署服务及接收盗来的资讯,涉及170万笔恶意活动纪录。