گروه مهاجم سایبری Rocket Kitten از یک نقطهضعف ترمیم شده در بستر VMware بر روی سیستمهای آسیبپذیر، از جمله ابزار تست نفوذ Core Impact، برای دسترسی اولیه و توزیع ابزارهای مخرب خود سوءاستفاده گسترده کرده است.
به گزارش مرکز مدیریت راهبردی افتا، آسیبپذیری موردنظر با شناسه CVE-2022-22954 درجه “حیاتی” (Critical) با شدت 8/9 از 10 (بر طبق استاندارد CVSS) دارد و از نوع “اجرای کد از راه دور” (Remote Code Execution – بهاختصار RCE) است. این آسیبپذیری در بخش VMware Workspace ONE Access and Identity Manager شناسایی شده است.
در 17 فروردین 1401، شرکت ویامور (VMware, Inc.) با انتشار توصیهنامه امنیتی، اصلاحیهای برای آسیبپذیری یادشده در این نشانی (https://www.vmware.com/security/advisories/VMSA-2022-0011.html) منتشر کرد. در 22 فروردین، یک نمونه اثباتگر (Proof-of-Concept – بهاختصار PoC) نیز برای آن ارائه شد و در 24 فروردین اولین بهرهجویی از این ضعف امنیتی شناسایی شد.
VMWare بستر رایانش ابری و مجازیسازی 30 میلیارد دلاری است که500 هزار سازمان در سراسر جهان از آن استفاده میکنند. هنگامی که یک مهاجم از آسیبپذیری CVE-2022-22954 سوءاستفاده میکند، به طور بالقوه قادر به حمله در سطح وسیع و نامحدودی است. این به معنای بالاترین سطح دسترسی به هر مؤلفهای در بستر مجازی است. در این شرایط، سازمانهای آسیبپذیر با حملات نفوذی قابلتوجه، باجگیری، آسیب به شهرت برند و شکایتهای قضایی روبرو خواهند شد.
زنجیره حملاتی که از این آسیبپذیری سوءاستفاده میکند، شامل توزیع یک برنامه مخرب مبتنی بر PowerShell بر روی سیستم آسیبپذیر است که به نوبه خود، اقدام به دریافت بخش بعدی کد مخرب میکند که PowerTrash Loader نامیده میشود. در مرحله بعد، با اجرای این کد مخرب، ابزار تست نفوذ Core Impact در حافظه سیستم برای اقدامات بعدی قرار داده میشود.
مهاجمان سایبری از ابزارهای تست نفوذ نظیر Core Impact برای انجام عملیات مخرب خود سوءاستفاده میکنند.
گستردگی بهکارگیری VMware Identity Access Management همراه با دسترسی نامحدود و از راه دور که از طریق این آسیبپذیری ایجاد شده، بهترین شرایط را برای حملات نفوذی در حوزههای مختلف کسبوکار فراهم میآورد. اکیداً توصیه میشود سازمانهایی که از VMware Identity Access Management استفاده میکنند دراسرعوقت با مراجعه به نشانیهای زیر، توصیهنامه VMWare را مطالعه و بهروزرسانیهای مربوط را اعمال کنند.
همچنین استفادهکنندگان از این بستر مجازی باید ضمن بررسی معماری VMware خود، اطمینان حاصل کنند که اجزای آسیبپذیر به طور تصادفی در اینترنت در دسترس نیستند، چون این امر به طور چشمگیری احتمال بهرهجویی را افزایش خواهد داد.
https://www.vmware.com/security/advisories.html
https://www.vmware.com/security/advisories/VMSA-2022-0011.html
مشروح گزارش شرکت Morphisec در خصوص این حملات، فهرست نشانههای آلودگی (Indicators-of-Compromise – بهاختصار IoC) و جزئیات فنی عملکرد آن در نشانی زیر قابلمطالعه است.
https://blog.morphisec.com/vmware-identity-manager-attack-backdoor
منابع:
https://thehackernews.com/2022/04/iranian-hackers-exploiting-vmware-rce.html
https://blog.morphisec.com/vmware-identity-manager-attack-backdoor
(با تشکر از شرکت مهندسی شبکهگستر برای همکاری در تهیه این گزارش)
دیدگاه شما