就在发布重大安全更新以纠正其 Aria Operations for Networks 产品线中的漏洞几天后，VMWare 警告称，漏洞利用代码已在线发布。在更新的公告中，这家虚拟化技术巨头确认公开发布了漏洞利用代码，该代码为黑客提供了绕过 SSH 身份验证并访问 Aria Operations for Networks 命令行界面的路线图。SinSinology 研究员 Sina Kheirkhah 发布的漏洞代码和根本原因分析将问题记录为 VMWare“忘记重新生成”SSH 密钥的情况。他指出 VMWare 的 CVE-2023-34039 通报（CVSS 严重性评分为 9.8 分（满分 10 分）），该通报将该错误描述为网络身份验证绕过，并警告该问题被错误描述。Kheirkha 说：“有趣的是，VMware 将此问题命名为“网络身份验证绕过”，但在我看来，没有任何内容被绕过。有 SSH 身份验证；然而，VMware 忘记重新生成密钥。“读完这两个描述后，我意识到这一定是硬编码的 SSH 密钥问题，”他并指出 VMware 的 Aria Operations for Networks 已将其密钥从版本 6.0 硬编码到 6.10。“利用此漏洞的主要挑战是 VMware 的 Aria Operations for Networks 的每个版本都有一个唯一的 SSH 密钥。为了创建一个功能齐全的漏洞利用程序，我必须收集该产品不同版本的所有密钥。”针对此缺陷的利用代码的发布加剧了网络管理员应用VMWare 可用补丁的紧迫性。VMware Aria Operations for Networks产品（以前称为 vRealize Network Insight）可供企业用来监控、发现和分析网络和应用程序，以跨云构建安全的网络基础架构。VMware 一直在努力解决 Aria Operations for Networks 产品中的安全问题，最近修复了一个被远程利用的命令注入漏洞。Aria Operations for Network 产品也已被标记在美国政府的 CISA 已知利用漏洞目录中。>>>等级保护<<<开启等级保护之路：GB 17859网络安全等级保护上位标准回看等级保护：重要政策规范性文件43号文（上）网络安全等级保护实施指南培训PPT网络安全等级保护安全物理环境测评培训PPT网络安全等级保护：等级保护测评过程要求PPT网络安全等级保护：安全管理中心测评PPT网络安全等级保护：安全管理制度测评PPT网络安全等级保护：定级指南与定级工作PPT网络安全等级保护：云计算安全扩展测评PPT网络安全等级保护：工业控制安全扩展测评PPT网络安全等级保护：移动互联安全扩展测评PPT网络安全等级保护：第三级网络安全设计技术要求整理汇总网络安全等级保护：等级测评中的渗透测试应该如何做网络安全等级保护：等级保护测评过程及各方责任网络安全等级保护：政务计算机终端核心配置规范思维导图网络安全等级保护：什么是等级保护？网络安全等级保护：信息技术服务过程一般要求网络安全等级保护：浅谈物理位置选择测评项闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载闲话等级保护：什么是网络安全等级保护工作的内涵？闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求闲话等级保护：测评师能力要求思维导图闲话等级保护：应急响应计划规范思维导图闲话等级保护：浅谈应急响应与保障闲话等级保护：如何做好网络总体安全规划闲话等级保护：如何做好网络安全设计与实施闲话等级保护：要做好网络安全运行与维护闲话等级保护：人员离岗管理的参考实践信息安全服务与信息系统生命周期的对应关系>>>工控安全<<<工业控制系统安全：信息安全防护指南工业控制系统安全：工控系统信息安全分级规范思维导图工业控制系统安全：DCS防护要求思维导图工业控制系统安全：DCS管理要求思维导图工业控制系统安全：DCS评估指南思维导图工业控制安全：工业控制系统风险评估实施指南思维导图工业控制系统安全：安全检查指南思维导图（内附下载链接）工业控制系统安全：DCS风险与脆弱性检测要求思维导图去年针对工业组织的勒索软件攻击增加了一倍工业安全远程访问渐增引发企业担心工业控制系统安全：工控系统信息安全分级规范（思维导图）有效保卫工业控制系统的七个步骤>>>数据安全<<<数据治理和数据安全数据安全风险评估清单成功执行数据安全风险评估的3个步骤美国关键信息基础设施数据泄露的成本备份：网络和数据安全的最后一道防线数据安全：数据安全能力成熟度模型数据安全知识：什么是数据保护以及数据保护为何重要？信息安全技术：健康医疗数据安全指南思维导图金融数据安全：数据安全分级指南思维导图金融数据安全：数据生命周期安全规范思维导图>>>供应链安全<<<美国政府为客户发布软件供应链安全指南OpenSSF 采用微软内置的供应链安全框架供应链安全指南：了解组织为何应关注供应链网络安全供应链安全指南：确定组织中的关键参与者和评估风险供应链安全指南：了解关心的内容并确定其优先级供应链安全指南：为方法创建关键组件供应链安全指南：将方法整合到现有供应商合同中供应链安全指南：将方法应用于新的供应商关系供应链安全指南：建立基础，持续改进。思维导图：ICT供应链安全风险管理指南思维导图英国的供应链网络安全评估>>>其他<<<网络安全十大安全漏洞网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图网络安全等级保护：应急响应计划规范思维导图安全从组织内部人员开始VMware 发布9.8分高危漏洞补丁影响2022 年网络安全的五个故事2023年的4大网络风险以及如何应对网络安全知识：物流业的网络安全网络安全知识：什么是AAA（认证、授权和记账）？美国白宫发布国家网络安全战略开源代码带来的 10 大安全和运营风险不能放松警惕的勒索软件攻击10种防网络钓鱼攻击的方法Mozilla通过发布Firefox 111修补高危漏洞Meta 开发新的杀伤链理论最佳CISO如何提高运营弹性5年后的IT职业可能会是什么样子？累不死的IT加班人：网络安全倦怠可以预防吗？网络风险评估是什么以及为什么需要低代码/无代码开发对安全性和生产力的影响源代码泄漏是新的威胁软件供应商应该关心的吗？在2023年实施的9项数据安全策略乌克兰是俄美网络战的“试验场”网络安全知识：什么是日志留存？公安部公布十大典型案例