0
0
Um grupo iraniano de espionagem cibernética que alguns fornecedores rastreiam como Rocket Kitten começou a explorar uma vulnerabilidade crítica recentemente corrigida na tecnologia VMware Workspace ONE Access/Identity Manager para fornecer a ferramenta de teste de penetração do Impacto Central em sistemas vulneráveis.
A VMware divulgou a vulnerabilidade de execução remota de código (CVE-2022-22954) em 6 de abril, ao mesmo tempo em que lançou um patch para o problema, juntamente com correções para um total de outras sete vulnerabilidades — um pouco menos críticas — que foram relatadas privadamente à empresa. O VMware identificou a vulnerabilidade do RCE como um problema de injeção de modelo do lado do servidor que poderia ser usado para execução remota de código. O fornecedor de software atribuiu-lhe um ranking de gravidade de 9,8 em uma escala de 10 porque a falha, entre outras coisas, permite que os atacantes obtenham o maior acesso privilegiado em ambientes comprometidos.
Dias após a divulgação da falha, o código de prova de exploração tornou-se disponível publicamente no Twitter. Pouco depois, os atores de ameaças teriam começado a atacar a falha para instalar mineradores de moedas de criptomoedas em servidores vulneráveis.
Entre aqueles que começaram a explorar a falha nos dias 14 e 15 de abril estavam os atacantes que a usaram para obter acesso a redes vulneráveis e lançar backdoors HTTPS reversos, como o Impacto Central, o Cobalt Strike e os faróis Metasploit, disse Morphisec em um relatório na segunda-feira. As táticas, técnicas e procedimentos dos atacantes sugeriram uma ligação com rocket kitten, disse o fornecedor de segurança.
“Muitos grupos parecem estar explorando essa vulnerabilidade, mas não há muitos grupos implantando implantes de impacto do Núcleo roubados”, diz Michael Gorelik, CTO e chefe de pesquisa de ameaças da Morphisec. “O cliente dos EUA que vimos aqui é aquele que tem uma divulgação para muitos clientes dos EUA. Infelizmente, não podemos compartilhar mais detalhes sobre isso atualmente.”
Morphisec procurou a Core Security para validar a existência da marca d’água dentro do implante, diz ele.
A presença do backdoor core impact na rede alvo, diz ele, é uma indicação de que um grupo APT estava por trás disso, simplesmente por causa de quão raramente o backdoor tem sido usado por outros.
O Ransomware Risk
Morphisec descreveu a nova vulnerabilidade como uma injeção de modelo do lado do servidor em um componente Apache Tomcat do Workspace ONE Access/Identity Manager da VMware que permite que comandos remotos sejam executados no servidor de hospedagem. A falha aumenta muito o risco de ataques de ransomware e violações significativas de segurança para organizações que usam a tecnologia vulnerável, disse o fornecedor de segurança.
VMware Workspace ONE Access era anteriormente conhecido como VMware Identity Manager. A tecnologia foi projetada para dar às empresas uma maneira de implementar rapidamente políticas de autenticação multifatorial, login único e acesso condicional para trabalhadores que tentam acessar ambientes corporativos de saas, móveis e aplicativos web. “É um provedor de identidade e gerente”, diz Gorelik. “Tem acesso a todos os usuários organizacionais e atua como controle de acesso ao meio ambiente.”
Morphisec disse que várias vulnerabilidades foram divulgadas na tecnologia VMware recentemente, incluindo duas outras falhas de RCE, CVE-2022-22958 e CVE-2022-22957. Embora ambas as falhas sejam remotamente executáveis, o invasor precisaria ter obtido acesso administrativo ao servidor vulnerável primeiro. No entanto, a nova falha do início deste mês não exige que os atacantes tenham esse nível de acesso para explorá-la, disse Morphisec.
PowerShell no Mix
No ataque que Morphisec observou, o invasor – depois de obter acesso inicial ao sistema vulnerável – implantou um stager PowerShell nele que, por sua vez, baixou um script PowerShell altamente ofuscado chamado PowerTrash Loader. O carregador então carregou um agente de impacto núcleo na memória do sistema sem deixar um traço de evidência forense.
Gorelik diz que os pesquisadores da Morphisec já observaram grupos APT, como o FIN7 da Rússia, usam o PowerTrash Loader para carregar Trojans de acesso remoto, como o JSSLoader, em sistemas de destino em outras campanhas.
“O comando PowerShell é executado como um comando direto enviado através da injeção de modelo do lado do servidor”, diz Gorelik. “O comando é um downloader PowerTrash ofuscado que eventualmente implantou o backdoor do Impacto Principal.”
As organizações que implementam o patch da VMware para a falha devem ser protegidas contra ele, diz ele. A assessoria da VMware observou que a falha está sendo ativamente explorada e apontada para soluções alternativas para mitigar a ameaça para organizações que não são capazes de corrigir imediatamente contra ela.
FONTE: DARK READING