Κενό ασφαλείας του VMware με βαθμολογία σοβαρότητας 9.8 αξιοποιήθηκε για την εγκατάσταση malware

[nnn]

Οι χάκερς εκμεταλλεύονται μια ευπάθεια που έχει πλέον επιδιορθωθεί στο VMware Workspace ONE Access σε εκστρατείες για να εγκαταστήσουν διάφορα ransomware και cryptocurrency miners, δήλωσε την Πέμπτη ερευνητής της εταιρείας ασφάλειας Fortinet.

Το CVE-2022-22954 είναι μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο VMware Workspace ONE Access, η οποία φέρει βαθμολογία σοβαρότητας 9,8 από τις 10 δυνατές. Η VMware αποκάλυψε και επιδιόρθωσε την ευπάθεια στις 6 Απριλίου. Μέσα σε 48 ώρες, οι χάκερς αντέστρεψαν την ενημέρωση και ανέπτυξαν ένα λειτουργικό exploit, το οποίο στη συνέχεια χρησιμοποίησαν για να θέσουν σε κίνδυνο διακομιστές που δεν είχαν εγκαταστήσει ακόμη τη διόρθωση. Η πρόσβαση στο VMware Workspace ONE βοηθά τους διαχειριστές να ρυθμίσουν μια σουίτα εφαρμογών που χρειάζονται οι εργαζόμενοι στα περιβάλλοντα εργασίας τους.

Τον Αύγουστο, οι ερευνητές της Fortiguard Labs είδαν μια ξαφνική έξαρση των προσπαθειών εκμετάλλευσης και μια σημαντική αλλαγή στην τακτική. Ενώ πριν οι χάκερ εγκαθιστούσαν ωφέλιμα φορτία που συνέλεγαν κωδικούς πρόσβασης και συνέλεγαν άλλα δεδομένα, η νέα έξαρση έφερε κάτι άλλο - συγκεκριμένα, ransomware γνωστό ως RAR1ransom, έναν ανθρακωρύχο κρυπτονομισμάτων γνωστό ως GuardMiner και το Mirai, λογισμικό που συσσωρεύει συσκευές Linux σε ένα τεράστιο botnet για χρήση σε κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών.

"Παρόλο που η κρίσιμη ευπάθεια CVE-2022-22954 έχει ήδη επιδιορθωθεί τον Απρίλιο, εξακολουθούν να υπάρχουν πολλαπλές εκστρατείες κακόβουλου λογισμικού που προσπαθούν να την εκμεταλλευτούν", έγραψε η ερευνήτρια της Fortiguard Labs Cara Lin. Οι επιτιθέμενοι, πρόσθεσε, τη χρησιμοποιούν για να εισάγουν ένα ωφέλιμο φορτίο και να επιτύχουν απομακρυσμένη εκτέλεση κώδικα σε διακομιστές που εκτελούν το προϊόν.

Σε αυτό που φαίνεται να είναι μια ξεχωριστή εκστρατεία, οι επιτιθέμενοι εκμεταλλεύτηκαν επίσης το CVE-2022-22954 για να κατεβάσουν ένα ωφέλιμο φορτίο από το 67[.]205[.]145[.]142. Το ωφέλιμο φορτίο περιλάμβανε επτά αρχεία:

• phpupdate.exe: Xmrig Λογισμικό εξόρυξης Monero
• config.json: Monero: αρχείο ρυθμίσεων για τις δεξαμενές εξόρυξης
• networkmanager.exe: Εκτελέσιμο που χρησιμοποιείται για τη σάρωση και τη διάδοση της μόλυνσης
• phpguard.exe: Εκτελέσιμο που χρησιμοποιείται για τη συνεχή λειτουργία του ανθρακωρύχου guardian Xmrig
• init.ps1: Το ίδιο το αρχείο σεναρίου για τη διατήρηση της εμμονής μέσω της δημιουργίας προγραμματισμένης εργασίας
• clean.bat: Αρχείο σεναρίου για την αφαίρεση άλλων κρυπτομηχανών στον εκτεθειμένο υπολογιστή
• encrypt.exe: RAR1 ransomware

Σε περίπτωση που το RAR1ransom δεν έχει εγκατασταθεί ποτέ πριν, το ωφέλιμο φορτίο θα εκτελέσει πρώτα το εκτελέσιμο αρχείο encrypt.exe. Το αρχείο απορρίπτει το νόμιμο εκτελέσιμο αρχείο συμπίεσης δεδομένων WinRAR σε έναν προσωρινό φάκελο των Windows. Στη συνέχεια, το ransomware χρησιμοποιεί το WinRAR για να συμπιέσει τα δεδομένα του χρήστη σε αρχεία που προστατεύονται με κωδικό πρόσβασης.

Το ωφέλιμο φορτίο θα ξεκινούσε στη συνέχεια την επίθεση GuardMiner. Το GuardMiner είναι ένα trojan εξόρυξης σε πολλαπλές πλατφόρμες για το νόμισμα Monero. Είναι ενεργό από το 2020.

Οι επιθέσεις υπογραμμίζουν τη σημασία της έγκαιρης εγκατάστασης ενημερώσεων ασφαλείας. Όποιος δεν έχει εγκαταστήσει ακόμη το patch της VMware της 6ης Απριλίου θα πρέπει να το κάνει αμέσως.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Ars Technica

[tsigarid]

6+ μήνες μετά συζητάμε κάτι τέτοιο; Τι δικαιολογία έχουν οι administrators άραγε;

[BlueChris]

6+ μήνες μετά συζητάμε κάτι τέτοιο; Τι δικαιολογία έχουν οι administrators άραγε;

Ναι όντως. Είμαι και θα είμαι για πάντα fully updated στο σύμπαν.

[Φιλόσοφος_Στ@ρχίδας]

Το πιο ενδιαφέρον στην ιστορία είναι πως έκαναν reverse engineer το update για να φτιάξουν λειτουργικό exploit, δεν θυμάμαι να έχω ξαναδεί κάτι παρόμοιο.

[georgemv]

Είναι στάνταρ πρακτική αυτό, ίσως δεν είχε αναφερθεί ποτέ. Πάντα ψάχνει ο «κόσμος» τι άλλαξε.

[Φιλόσοφος_Στ@ρχίδας]

Είναι στάνταρ πρακτική αυτό, ίσως δεν είχε αναφερθεί ποτέ. Πάντα ψάχνει ο «κόσμος» τι άλλαξε.

Δεν έχω κάνει ποτέ reverse engineer, οι γνώσεις μου στο θέμα είναι εγκυκλοπαιδικές και γιαυτό μάλλον δεν το έχω ξαναδεί πουθενά γραμμένο.