威胁行为体可利用VMware漏洞获取有效用户名

美国国家安全局（NSA）在关键VMware产品中发现了三个新的安全漏洞，其中两个可被用于恢复用户名。

这三个漏洞于周一披露，被标记为“重要”严重级别。目前已提供修补程序来修复所有漏洞。

事件响应公司Cypfer的首席运营官Ed Dubrovsky表示：“延迟修补的组织面临更高的事件风险。攻击者可能悄无声息地潜入内部系统，转向敏感资产，或利用侦察数据发动更具破坏性的后续攻击。没有理由让对手的侦察工具包增长，或降低横向移动或网络钓鱼升级的门槛，因此应尽快修补。”

漏洞详情

• CVE-2025-41250：vCenter中的SMTP头注入漏洞。具有非管理权限且有权创建计划任务的恶意行为体可能能够操纵为计划任务发送的通知电子邮件。SANS研究所研究主任Johannes Ullrich评论道：“由于需要身份验证，利用可能性可能有限。”

• CVE-2025-41251：NSX中的弱密码恢复机制漏洞。未经身份验证的恶意行为体可能利用此漏洞枚举有效用户名，可能导致暴力攻击。

• CVE-2025-41252：NSX中的用户名枚举漏洞。未经身份验证的恶意行为体可能利用此漏洞枚举有效用户名，可能导致未经授权的访问尝试。

专家观点

Ullrich表示：“就漏洞而言，枚举用户的能力在密码重置表单中较为常见且影响较小。许多密码重置功能会告知用户他们尝试重置密码的账户是否存在。这可用于识别存在的账户。”

尽管需要修补该错误，但他不认为这是高度优先事项。“用户枚举可用于更有效的暴力破解，但即使没有它，暴力破解也可能发生。CISO应研究如何缓解暴力破解，例如通过Web应用程序防火墙或vCenter中的配置选项。”

他补充说，vCenter不应暴露在互联网上，而应通过VPN访问。

受影响产品及风险

除NSX和vCenter外，受影响的产品还包括VMware Cloud Foundation、VMware Telco Cloud Platform和VMware Telco Cloud Infrastructure。

Cypfer的Dubrovsky指出，这些漏洞突显了与虚拟化环境相关的风险日益增加及其日益复杂化。“虽然没有证据表明这些漏洞本身提供任何类型的远程代码执行，但它们确实为干扰某些电子邮件流和探测系统以获取其他信息（如有效账户列表）提供了可能途径。”

他表示这很危险，因为在许多攻击场景中，威胁行为体需要获取有效凭据。“暗网上有一个蓬勃发展的市场出售此类信息，使威胁行为体能够在环境中获得立足点，然后通过横向移动和增加访问权限级别来扩大该立足点，以泄露受限和机密信息或获得完全控制以进行系统加密或其他损害。”

安全建议

Dubrovsky强调，许多威胁行为体使用包含产品默认凭据的字典来猜测密码或用户名，而许多组织忘记更改它们也无济于事。强制更改默认凭据的IT领导者增加了威胁行为体猜测凭据对中登录ID部分所需的时间。另一方面，这些错误使攻击者的工作更加容易。

“利用这些[VMware]漏洞，无需任何特殊访问权限，威胁行为体就能够枚举系统上的活动账户，这实质上使他们在猜测凭据对（登录名/密码）方面完成了约50%的工作，”他说。“这是一种高风险情况，管理员应立即修补并确保不使用默认账户登录。”

加拿大事件响应公司DigitalDefence负责人Robert Beggs表示，SMTP攻击漏洞似乎“尽管严重级别很高，但有些受限。它需要尚未具有管理员访问权限的合法用户采取恶意行动。”

他同意Dubrovsky的观点，即另外两个漏洞共同使攻击者能够识别合法用户名。了解一半访问凭据将促进诸如暴力猜测密码或密码喷洒攻击等攻击。“这使这些攻击更加可靠，”他说，“并最小化了可能被各种安全控制识别的努力。总之，即使知道一半凭据也会降低安全性并使攻击者更容易。”

他补充说：“这凸显了多因素认证对于登录保护的重要性。如果攻击者必须在攻击配置文件中使用MFA，那么了解一半访问凭据带来的优势将在很大程度上被抵消。”