CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Rocket Kitten exploatează VMware în prezent

https://unsplash.com

Potrivit firmei de securitate Morphisec, o echipă de atacatori numită Rocket Kitten, se află probabil în spatele încercărilor de a exploata o vulnerabilitate de tip remote code execution din cadrul identity management software al VMware.

Recent, VMware a dezvăluit și remediat o vulnerabilitate, regăsită ca CVE-2022-22954 cu scorul de 9,8 din 10 pe scara CVSS din cadrul software-ului Workspace ONE Access and Identity Manager.

Vulnerabilitatea implică un server-side template injection și poate fi exploatată de oricine are acces la rețea. Exploatarea cu succes a vulnerabilității facilitează implementarea de ransomware, furtul de date și alte acțiuni malițioase.

Găsirea și exploatarea unei vulnerabilități în platforma VMware este deosebit de tentantă, având în vedere că această companie este prezentă în aproape toate întreprinderile de pe planetă. Potrivit furnizorului, peste 500.000 de organizații la nivel global utilizează software-ul său de virtualizare și de cloud computing.

Vmware a remediat vulnerabilitățile din cadrul software-ului în data de 6 aprilie. În data de 11 aprilie, un exploit de tip proof-of-concept a fost lansat și, potrivit Morphisec, două zile mai târziu au fost observate exploatări ale vulnerabilității.

Analiza de securitate susține că în spatele exploatării se află grupuri de amenințări persistente avansate, care au folosit vulnerabilitatea pentru a instala backdoor-uri bazate pe HTTPS în rețelele victimelor. De asemenea, tehnicile și procedurile utilizate în atac sunt comune în rândul unor grupuri precum Rocket Kitten, care au legături cu Iranul.

A fost precizat că vulnerabilitatea server-side template injection din VMware afectează o componentă Apache Tomcat și ar putea permite grupului, sau oricărui alt atacator, să execute comenzi malițioase pe un server gazdă. Atacatorii au folosit PowerShell pentru a descărca și a rula PowerTrash Loader, despre care Morphisec a precizat că este un script PowerShell foarte obfuscat, cu aproximativ 40.000 de linii de cod. Apoi este decomprimat un payload și încărcat în memorie. Etapa finală a atacului a fost un agent Core Impact, un instrument legitim de penetration-testing.

Morphisec a reușit să extragă din cod adresa serverului de comandă și control, versiunea clientului și cheia de criptare a comunicațiilor.

Sursa: Iran’s Rocket Kitten likely behind VMware exploitation • The Register

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |