Hackers explotando servidores VMware con exploit RCE público

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha publicado en línea un exploit de prueba de concepto para la vulnerabilidad de ejecución remota de código VMware CVE-2022-22954, que ya se está utilizando en ataques activos que infectan servidores con mineros de monedas.

La vulnerabilidad es una ejecución remota de código (RCE) crítica (CVSS: 9.8 ) que afecta a VMware Workspace ONE Access y VMware Identity Manager, dos productos de software ampliamente utilizados.

El proveedor de software publicó un aviso de seguridad para la vulnerabilidad el 6 de abril de 2022, advirtiendo sobre la posibilidad de que un actor de amenazas con acceso a la red active una inyección de plantilla del lado del servidor que resulte en RCE.

VMware ha publicado actualizaciones de seguridad para los productos afectados e instrucciones de solución para ayudar a abordar el riesgo de implementaciones que los administradores no pueden actualizar de inmediato.

Al mismo tiempo, subrayó la importancia de abordar la vulnerabilidad particular: "Esta vulnerabilidad crítica debe repararse o mitigarse de inmediato según las instrucciones en VMSA-2021-0011. Las ramificaciones de esta vulnerabilidad son graves".

Vulnerabilidad explotada activamente en ataques

Esta semana, numerosos investigadores de seguridad crearon exploits funcionales para CVE-2022-22954, con al menos un exploit de prueba de concepto publicado en Twitter.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si bien la publicación de exploits públicos aumenta los riesgos de que los actores de amenazas los exploten en los ataques, también están destinados a ayudar a proteger los sistemas a través de pruebas y servir como validadores de correcciones/parches existentes.

Hoy en día, los actores de amenazas están escaneando activamente en busca de hosts vulnerables, y la firma de inteligencia de seguridad cibernética Bad Packets declara que están detectando intentos de explotar la vulnerabilidad en la naturaleza.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La dirección IP, 106.246.224.219, utilizada en la carga útil, se vio recientemente dejando caer la puerta trasera Linux Tsunami en otros ataques. Sin embargo, no está claro cuál es el ejecutable 'one', ya que ya no es accesible.

El investigador de seguridad Daniel Card también compartió en Twitter que la vulnerabilidad se estaba explotando para lanzar cargas útiles de mineros, comúnmente los primeros ataques que vemos cuando los actores de amenazas apuntan a una nueva vulnerabilidad.

Algunos de estos actores de amenazas cierran la vulnerabilidad una vez que obtienen el control del servidor.

Card declaró que probablemente veríamos bandas de ransomware comenzando a utilizar el exploit pronto para propagarse lateralmente dentro de las redes.

Debido a su explotación activa, si aún no ha aplicado las actualizaciones o mitigaciones de seguridad de VMware, es extremadamente urgente que lo haga lo antes posible.

Para los usuarios de productos VMware, vale la pena señalar que el aviso del proveedor enumera varias fallas de alta gravedad además del RCE mencionado anteriormente, que afectan a productos adicionales además de Workspace One Access e Identity Manager, así que asegúrese de estar utilizando la última versión disponible.

Fuente:
BleeepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta