Yakın zamanda ortaya çıkarılan VMware güvenlik açıkları, çeşitli yükleri düşürmeye yönelik devam eden bir siber saldırı dalgasını demirlemeye devam ediyor. Son aktivite akışında, çeşitli botnet’lerle hedeflere bulaşma veya Log4Shell aracılığıyla bir arka kapı oluşturma nihai hedefi ile hain tipler giriyor.
Bu, saldırganların özellikle şu şekilde izlenen kritik güvenlik açığını araştırdığını bulan Barracuda araştırmacılarına göre. CVE-2022-22954 sürüler halinde, karışımda gerçek sömürü girişimlerinin de bulunduğu.
Güvenlik açığı, 9.8 CVSS puanı taşır ve VMware Workspace ONE Access ve Identity Manager’ı etkiler. Workspace ONE, VMware’in kurumsal uygulamaları herhangi bir cihaza (bir tür hızlandırılmış mobil cihaz yönetimi çözümü) teslim etme platformudur ve kimlik yöneticisi, platform için kimlik doğrulamayı yönetir. Hata, ağ erişimi olan saldırganlar için sunucu tarafı şablon enjeksiyonu yoluyla uzaktan kod yürütülmesine (RCE) izin verir.
Barracuda’nın veri koruma, ağ ve uygulama güvenliği için ürün pazarlama kıdemli direktörü Mike Goldgof, “Sunucu tarafı şablon enjeksiyon sorunu, Web arayüzüne erişimi olan kimliği doğrulanmamış bir kullanıcının VMware kullanıcısı olarak herhangi bir rastgele kabuk komutunu yürütmesine izin verebilir.” , Dark Reading’i anlatır. “Aslında, bir bilgisayar korsanı sistemi çökertebilir, verileri çıkarabilir, fidye yazılımı enjekte edebilir, vb.”
Goldgof, “Siber suçlular sürekli olarak bu tür tavsiyeleri tarıyor ve bir yama indirme şansı bulamadan hedefleri sömürmeye çalışmak için en kısa sürede bunlara atlıyorlar” dedi. “[And] VMware altyapısı, hem veri merkezinde hem de bulut ortamlarında yaygın olarak kullanılıyor ve çok sayıda çekici bilgisayar korsanlığı hedefi sağlıyor.”
Etkinlik bazen ikinci bir hatayı içerir (CVE-2022-22960VMware Workspace ONE Access, Identity Manager ve vRealize Automation’da (özel bulutlar oluşturmak için bir platform) yerel bir ayrıcalık yükseltme (LPE) güvenlik açığı olan CVSS puanı 7.8). Hata, destek komut dosyalarındaki uygunsuz izinler nedeniyle ortaya çıkıyor. VMware’in danışmanlığıve yerel erişime sahip saldırganların kök ayrıcalıklarına erişmesine izin verebilir.
Barracuda, bu durumda, tam bir sömürü vektörü için önceki kusurla zincirlendiğini kaydetti.
VMware, hataları Nisan ayında açıkladı ve kısa bir süre sonra GitHub’da bir kavram kanıtı (PoC) açığı yayınlandı ve dünyaya tweet’lendi. Şaşırtıcı olmayan bir şekilde, birden fazla güvenlik firmasından araştırmacılar, çok kısa bir süre sonra sondaları ve istismar girişimlerini görmeye başladı ve isabetler gelmeye devam ediyor.
Vulcan Cyber kıdemli teknik mühendisi Mike Parkin Dark Reading’e “Yaygın olarak kullanılan bir platform veya uygulamadaki herhangi bir ciddi güvenlik açığı endişe kaynağıdır. Tehdit aktörleri her zaman minimum çabayla birden fazla hedefi vurma fırsatı arar.” “VMware, etrafındaki en popüler sanallaştırma platformlarından biridir ve genellikle üzerinde çalışan birden fazla uygulama ile güçlü bir demir üzerinde çalışır. Bu, bir saldırgana VMware sunucularının peşinden gitmesi için birden çok neden sunar.”
VMware Payloads du Jour
Barracuda araştırmacıları, telemetrisindeki araştırmaların çoğunun GitHub’dan PoC kodunu kullanarak VMware RCE güvenlik açığı için olduğunu fark ettiler. Bu arada gerçek istismar girişimlerinin çoğu artık öncelikle botnet operatörlerinden, özellikle Mirai dağıtılmış hizmet reddi (DDoS) botnet kötü amaçlı yazılımının varyantlarını barındıran IP’ler ve birkaç EnemyBot örneği (başka bir DDoS kötü adam) tarafından gerçekleştiriliyor.
Aksi takdirde, araştırmacılar, “verilerde bazı Log4Shell istismar girişimlerinin de görüldüğünü” kaydetti.
Saldırıların arkasında kimin olduğuna gelince, çoğu ABD kaynaklı (%76), çoğunlukla veri merkezlerinden ve bulut sağlayıcılarından geliyor. Ancak araştırmacılar, fırsatçı siber suç kartelleriyle bağlantılı olduğu iyi bilinen Rus IP adreslerinden “tutarlı arka plan girişimleri” de buldular.
Araştırmacılar, “Bu IP’lerden bazıları düzenli aralıklarla belirli güvenlik açıkları için taramalar yapıyor ve VMware güvenlik açıklarının her zamanki dönen Laravel/Drupal/PHP probları listesine eklenmiş gibi görünüyor” dedi.
Nisan ayında, çok farklı bir amaçla başka bir saldırı grubu işaretlendi. Rocket Kitten olarak bilinen İranlı bir siber casusluk grubunun, savunmasız sistemler üzerinde Core Impact penetrasyon testi aracını sunmak için CVE-2022-22954 RCE’den yararlandığı görüldü. Ve bir başka Nisan etkinliğinde, kripto madencilerinin yollarını yaptıkları bildirildi sömürü-palooza dizisine.
Barracuda’ya göre, Nisan ayındaki birkaç ilk artışın ardından, bu güvenlik açıklarını tetikleme konusundaki ilgi seviyeleri sabit kalıyor ve firma, tarama ve istismar girişimlerinin bir süre daha devam etmesini bekliyor.
Bu saldırılara (ve çoğu botnet ve Log4Shell etkinliğine) karşı en iyi savunma Güvenlik 101’dir – yani yama. Barracuda’ya göre, savunucular ayrıca bir Web uygulaması güvenlik duvarı (WAF) ile “sıfır gün saldırılarına ve diğer güvenlik açıklarına karşı derinlemesine savunma” ekleyerek ekstra bir koruma katmanı oluşturabilirler. Salı yazısı.
Goldgof, şirketlerin satıcı açıklamaları ortaya çıkar çıkmaz popüler platformlar için yamalara atlamalarının önemli olduğunu belirtiyor.
“Siber suçlular sürekli olarak bu tür tavsiyeleri tarıyor ve bir yama indirme şansı bulamadan hedefleri sömürmeye çalışmak için en kısa sürede bunlara atlıyorlar” diyor. “[And] VMware altyapısı, hem veri merkezinde hem de bulut ortamlarında yaygın olarak kullanılıyor ve çok sayıda çekici bilgisayar korsanlığı hedefi sağlıyor.”