Falha grave torna VMware alvo fácil para hackers

vSphere 8 Update 1 da VMware estreia sob o regime de lançamento de produto revisado
Broadcom compra VMware por US$ 61 bilhões

Uma exploração de prova de conceito foi lançada online para a vulnerabilidade de execução remota de código VMware CVE-2022-22954, já sendo usada em ataques ativos que infectam servidores com mineradores de moedas. A vulnerabilidade é uma execução remota de código (RCE) crítica (CVSS: 9.8) que afeta o VMware Workspace ONE Access e o VMware Identity Manager, dois produtos de software amplamente usados. Portanto, trata-se de uma falha grave torna VMware alvo fácil para hackers

O fornecedor de software lançou um aviso de segurança para a vulnerabilidade em 6 de abril de 2022, alertando sobre a possibilidade de um agente de ameaça com acesso à rede acionar uma injeção de modelo do lado do servidor que resulta em RCE.

A VMware lançou atualizações de segurança para os produtos afetados e instruções de solução alternativa para ajudar a lidar com o risco de implantações que os administradores não podem atualizar imediatamente.

Ao mesmo tempo, sublinhou a importância de abordar a vulnerabilidade específica: “Esta vulnerabilidade crítica deve ser corrigida ou mitigada imediatamente de acordo com as instruções do VMSA-2021-0011. As ramificações dessa vulnerabilidade são sérias.”

Falha grave torna VMware alvo fácil para hackers. Vulnerabilidade explorada em ataques

Esta semana, vários pesquisadores de segurança criaram exploits de trabalho para o CVE-2022-22954, com pelo menos um exploit de prova de conceito publicado no Twitter.

Embora a liberação de exploits públicos aumente os riscos de que os agentes de ameaças os explorem em ataques, eles também devem ajudar a proteger os sistemas por meio de testes e servir como validadores de correções/patches existentes.

Um pesquisador de segurança oferecendo seu PoC para CVE-2022-22954 no Twitter

Agora, os agentes de ameaças estão verificando ativamente os hosts vulneráveis, com a empresa de inteligência de segurança cibernética Bad Packets informando que estão detectando tentativas de explorar a vulnerabilidade.

O endereço IP, 106.246.224.219, usado no payload, foi visto recentemente derrubando o backdoor Linux Tsunami em outros ataques. No entanto, não está claro qual é o executável ‘um’, pois não está mais acessível.

O pesquisador de segurança Daniel Card também compartilhou no Twitter que a vulnerabilidade estava sendo explorada para descartar cargas úteis do minerador de moedas, geralmente os primeiros ataques que vemos quando os agentes de ameaças visam uma nova vulnerabilidade.

Alguns desses agentes de ameaças estão fechando a vulnerabilidade assim que obtêm o controle do servidor.

Card disse ao BleepingComputer que provavelmente veríamos gangues de ransomware começarem a utilizar o exploit em breve para se espalhar lateralmente nas redes.

Devido à sua exploração ativa, se você ainda não aplicou as atualizações ou mitigações de segurança do VMware, é extremamente urgente fazê-lo o mais rápido possível.

Para usuários de produtos VMware, vale a pena observar que o aviso do fornecedor lista várias falhas de alta gravidade além do RCE mencionado acima, que afetam produtos adicionais além do Workspace One Access e do Identity Manager, portanto, certifique-se de usar a versão mais recente disponível.

Via BleepingComputer