گروه مهاجم سایبری Rocket Kitten از یک نقطهضعف ترمیم شده در بستر VMware بر روی سیستمهای آسیبپذیر ازجمله ابزار تست نفوذ Core Impact برای دسترسی اولیه و توزیع ابزارهای مخرب خود سوءاستفاده گسترده کرده است.
سوء استفاده هکرهای Rocket Kitten از آسیبپذیری VMware
مرکز مدیریت راهبردی افتا , 19 ارديبهشت 1401 ساعت 9:00
گروه مهاجم سایبری Rocket Kitten از یک نقطهضعف ترمیم شده در بستر VMware بر روی سیستمهای آسیبپذیر ازجمله ابزار تست نفوذ Core Impact برای دسترسی اولیه و توزیع ابزارهای مخرب خود سوءاستفاده گسترده کرده است.
گروه مهاجم سایبری Rocket Kitten از یک نقطهضعف ترمیم شده در بستر VMware بر روی سیستمهای آسیبپذیر ازجمله ابزار تست نفوذ Core Impact برای دسترسی اولیه و توزیع ابزارهای مخرب خود سوءاستفاده گسترده کرده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هکرهای Rocket Kitten از آسیبپذیری VMware سوءاستفاده کردند. آسیبپذیری موردنظر با شناسه CVE-۲۰۲۲-۲۲۹۵۴ درجه "حیاتی" (Critical) با شدت ۸/۹ از ۱۰ (بر طبق استاندارد CVSS) دارد و از نوع "اجرای کد از راه دور" (Remote Code Execution – بهاختصار RCE) است. این آسیبپذیری در بخش VMware Workspace ONE Access and Identity Manager شناسایی شده است.
در ۱۷ فروردین ۱۴۰۱، شرکت VMware با انتشار توصیهنامه امنیتی، اصلاحیهای برای آسیبپذیری یادشده در این نشانی (https://www.vmware.com/security/advisories/VMSA-۲۰۲۲-۰۰۱۱.html) منتشر کرد. در ۲۲ فروردین، یک نمونه اثباتگر (Proof-of-Concept – بهاختصار PoC) نیز برای آن ارائه شد و در ۲۴ فروردین اولین بهرهجویی از این ضعف امنیتی شناسایی شد.
VMWare بستر رایانش ابری و مجازیسازی ۳۰ میلیارد دلاری است که۵۰۰ هزار سازمان در سراسر جهان از آن استفاده میکنند. هنگامی که یک مهاجم از آسیبپذیری CVE-۲۰۲۲-۲۲۹۵۴ سوءاستفاده میکند، به طور بالقوه قادر به حمله در سطح وسیع و نامحدودی است. این به معنای بالاترین سطح دسترسی به هر مؤلفهای در بستر مجازی است. در این شرایط، سازمانهای آسیبپذیر با حملات نفوذی قابلتوجه، باجگیری، آسیب به شهرت برند و شکایتهای قضایی روبرو خواهند شد.
زنجیره حملاتی که از این آسیبپذیری سوءاستفاده میکند، شامل توزیع یک برنامه مخرب مبتنی بر PowerShell بر روی سیستم آسیبپذیر است که به نوبه خود، اقدام به دریافت بخش بعدی کد مخرب میکند که PowerTrash Loader نامیده میشود. در مرحله بعد، با اجرای این کد مخرب، ابزار تست نفوذ Core Impact در حافظه سیستم برای اقدامات بعدی قرار داده میشود.
مهاجمان سایبری از ابزارهای تست نفوذ نظیر Core Impact برای انجام عملیات مخرب خود سوءاستفاده میکنند.
گستردگی بهکارگیری VMware Identity Access Management همراه با دسترسی نامحدود و از راه دور که از طریق این آسیبپذیری ایجاد شده، بهترین شرایط را برای حملات نفوذی در حوزههای مختلف کسبوکار فراهم میآورد. اکیداً توصیه میشود سازمانهایی که از VMware Identity Access Management استفاده میکنند دراسرعوقت با مراجعه به نشانیهای زیر، توصیهنامه VMWare را مطالعه و بهروزرسانیهای مربوط را اعمال کنند.
همچنین استفادهکنندگان از این بستر مجازی باید ضمن بررسی معماری VMware خود، اطمینان حاصل کنند که اجزای آسیبپذیر به طور تصادفی در اینترنت در دسترس نیستند، چون این امر به طور چشمگیری احتمال بهرهجویی را افزایش خواهد داد.
https://www.vmware.com/security/advisories.html
https://www.vmware.com/security/advisories/VMSA-۲۰۲۲-۰۰۱۱.html
مشروح گزارش شرکت Morphisec در خصوص این حملات، فهرست نشانههای آلودگی (Indicators-of-Compromise – بهاختصار IoC) و جزئیات فنی عملکرد آن در نشانی زیر قابلمطالعه است.
https://blog.morphisec.com/vmware-identity-manager-attack-backdoor
کد مطلب: 19012