Continúan los exploits de errores críticos de VMware, a medida que los operadores de botnet se lanzan



Las vulnerabilidades de VMware descubiertas recientemente continúan anclando una ola continua de ciberataques empeñados en lanzar varias cargas útiles. En la última oleada de actividad, los tipos nefastos entran con el objetivo last de infectar a los objetivos con varias botnets o establecer una puerta trasera a través de Log4Shell.

Eso es según los investigadores de Barracuda, quienes descubrieron que los atacantes están investigando particularmente la vulnerabilidad crítica rastreada como CVE-2022-22954 en masa, con franjas de intentos reales de explotación en la mezcla también.

La vulnerabilidad de seguridad tiene una puntuación CVSS de 9,8 y afecta a VMware Workspace Just one Obtain and Identification Supervisor. Workspace 1 es la plataforma de VMware para entregar aplicaciones corporativas a cualquier dispositivo (una especie de solución mejorada de administración de dispositivos móviles), y el administrador de identidad maneja la autenticación en la plataforma. El error permite la ejecución remota de código (RCE) a través de la inyección de plantillas del lado del servidor para los atacantes que tienen acceso a la red.

«Un problema de inyección de plantilla del lado del servidor puede permitir que un usuario no autenticado con acceso a la interfaz world-wide-web ejecute cualquier comando de shell arbitrario como usuario de VMware», dijo Mike Goldgof, director senior de advertising and marketing de productos para protección de datos, purple y seguridad de aplicaciones de Barracuda. , le dice a Dark Reading through. “En efecto, un hacker puede derribar el sistema, extraer datos, inyectar ransomware, and many others.”

«Los ciberdelincuentes buscan constantemente este tipo de avisos y los aprovechan lo antes posible para intentar explotar objetivos antes de que tengan la oportunidad de descargar un parche», señaló Goldgof. «[And] La infraestructura de VMware está ampliamente implementada tanto en centros de datos como en entornos de nube, lo que proporciona una gran población de objetivos de piratería atractivos».

La actividad a veces implica un segundo error (CVE-2022-22960, puntuación CVSS de 7,8), que es una vulnerabilidad de escalada de privilegios locales (LPE) en VMware Workspace A single Accessibility, Id Supervisor y vRealize Automation (una plataforma para crear nubes privadas). El error surge debido a permisos inadecuados en los scripts de soporte, según Asesoramiento de VMwarey podría permitir a los atacantes con acceso nearby obtener privilegios de root.

En este caso, se encadena con la falla anterior para un vector de explotación overall, señaló Barracuda.

VMware reveló los errores en abril y, poco después, se lanzó un exploit de prueba de concepto (PoC) en GitHub y se tuiteó al mundo. Como era de esperar, los investigadores de varias empresas de seguridad comenzaron a ver sondeos e intentos de explotación poco tiempo después, y los éxitos siguen llegando.

«Cualquier vulnerabilidad grave en una plataforma o aplicación de uso generalizado es motivo de preocupación. Los actores de amenazas siempre están buscando una oportunidad para alcanzar múltiples objetivos con el mínimo esfuerzo», dice Mike Parkin, ingeniero técnico senior de Vulcan Cyber, a Dark Reading. «VMware es una de las plataformas de virtualización más populares que existen y, a menudo, se ejecuta en un hierro potente con múltiples aplicaciones que se ejecutan encima. Esto le da a un atacante múltiples razones para atacar los servidores de VMware».

Cargas útiles de VMware del día
Los investigadores de Barracuda notaron que la mayor parte del sondeo en su telemetría ahora es para la vulnerabilidad VMware RCE, utilizando el código PoC de GitHub. Mientras tanto, la mayoría de los intentos reales de explotación ahora provienen principalmente de operadores de botnet, especialmente IP que alojan variantes del malware de botnet de denegación de servicio distribuido (DDoS) de Mirai, junto con algunas muestras de EnemyBot (otro malo DDoS).

De lo contrario, «también se observaron algunos intentos de explotación de Log4Shell en los datos», señalaron los investigadores.

En cuanto a quién está detrás de los ataques, la mayoría se origina en los EE. UU. (76 %), en su mayoría provenientes de centros de datos y proveedores de la nube. Sin embargo, los investigadores también encontraron «intentos de fondo consistentes» de direcciones IP rusas que se sabe que están afiliadas a cárteles oportunistas de ciberdelincuencia.

«Algunas de estas direcciones IP realizan escaneos en busca de vulnerabilidades específicas a intervalos regulares, y parece que las vulnerabilidades de VMware se han agregado a su lista rotativa recurring de sondas Laravel/Drupal/PHP», explicaron los investigadores.

En abril, se señaló otra serie de ataques, con un objetivo muy diferente. Se vio a un grupo de ciberespionaje iraní conocido como Rocket Kitten explotando el CVE-2022-22954 RCE para entregar la herramienta de prueba de penetración Core Impact en sistemas vulnerables. Y en otra tanda de actividad de abril, Según los informes, los criptomineros se abrieron camino en la alineación de explotación-palooza.

Después de varios picos iniciales en abril, los niveles de interés en desencadenar estas vulnerabilidades se han mantenido estables, según Barracuda, y la empresa espera que los intentos de exploración y explotación continúen durante algún tiempo.

La mejor defensa contra esta avalancha de ataques (y la mayor parte de la actividad de botnets y Log4Shell) es Protection 101, es decir, aplicar parches. Los defensores también pueden incorporar una capa adicional de protección con un firewall de aplicaciones world-wide-web (WAF), agregando «defensa en profundidad contra ataques de día cero y otras vulnerabilidades», según Barracuda. redacción del martes.

Es importante que las empresas obtengan parches para plataformas populares tan pronto como se publiquen las divulgaciones de los proveedores, señala Goldgof.

«Los ciberdelincuentes buscan constantemente este tipo de avisos y los aprovechan lo antes posible para intentar explotar objetivos antes de que tengan la oportunidad de descargar un parche», dice. «[And] La infraestructura de VMware está ampliamente implementada tanto en centros de datos como en entornos de nube, lo que proporciona una gran población de objetivos de piratería atractivos».



Enlace a la noticia authentic