گروه مهاجم سایبری Rocket Kitten از یک نقطه‌ضعف ترمیم شده در بستر VMware بر روی سیستم‌های آسیب‌پذیر ازجمله ابزار تست نفوذ Core Impact برای دسترسی اولیه و توزیع ابزارهای مخرب خود سوءاستفاده گسترده کرده است.

گروه مهاجم سایبری Rocket Kitten از یک نقطه‌ضعف ترمیم شده در بستر VMware بر روی سیستم‌های آسیب‌پذیر ازجمله ابزار تست نفوذ Core Impact برای دسترسی اولیه و توزیع ابزارهای مخرب خود سوءاستفاده گسترده کرده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، هکرهای Rocket Kitten از آسیب‌پذیری VMware سوءاستفاده کردند. آسیب‌پذیری موردنظر با شناسه CVE-۲۰۲۲-۲۲۹۵۴ درجه "حیاتی" (Critical) با شدت ۸/۹ از ۱۰ (بر طبق استاندارد CVSS) دارد و از نوع "اجرای کد از راه دور" (Remote Code Execution – به‌اختصار RCE) است. این آسیب‌پذیری در بخش VMware Workspace ONE Access and Identity Manager شناسایی شده است.

در ۱۷ فروردین ۱۴۰۱، شرکت VMware با انتشار توصیه‌نامه‌ امنیتی، اصلاحیه‌ای برای آسیب‌پذیری یادشده در این نشانی‌ (https://www.vmware.com/security/advisories/VMSA-۲۰۲۲-۰۰۱۱.html) منتشر کرد.  در ۲۲ فروردین، یک نمونه اثبات‌گر (Proof-of-Concept – به‌اختصار PoC) نیز برای آن ارائه شد و در ۲۴ فروردین اولین بهره‌جویی از این ضعف امنیتی شناسایی شد.
VMWare بستر رایانش ابری و مجازی‌سازی ۳۰ میلیارد دلاری است که۵۰۰ هزار سازمان در سراسر جهان از آن استفاده می‌کنند. هنگامی که یک مهاجم از آسیب‌پذیری CVE-۲۰۲۲-۲۲۹۵۴ سوءاستفاده ‌می‌کند، به طور بالقوه قادر به حمله در سطح وسیع و نامحدودی است. این به معنای بالاترین سطح دسترسی به هر مؤلفه‌ای در بستر مجازی است. در این شرایط، سازمان‌های آسیب‌پذیر با حملات نفوذی قابل‌توجه، باج‎‌گیری، آسیب به شهرت برند و شکایت‌های قضایی روبرو خواهند شد.

زنجیره حملاتی که از این آسیب‌پذیری سوءاستفاده می‌کند، شامل توزیع یک برنامه مخرب مبتنی بر PowerShell بر روی سیستم آسیب‌پذیر است که به نوبه خود، اقدام به دریافت بخش بعدی کد مخرب می‌کند که PowerTrash Loader نامیده می‌شود. در مرحله بعد، با اجرای این کد مخرب، ابزار تست نفوذ Core Impact در حافظه سیستم برای اقدامات بعدی قرار داده می‌شود.

مهاجمان سایبری از ابزارهای تست نفوذ نظیر Core Impact برای انجام عملیات مخرب خود سوءاستفاده می‌کنند.

گستردگی به‌کارگیری VMware Identity Access Management همراه با دسترسی نامحدود و از راه دور که از طریق این آسیب‌پذیری ایجاد شده، بهترین شرایط را برای حملات نفوذی در حوزه‌های مختلف کسب‌وکار فراهم می‌آورد. اکیداً توصیه می‌شود سازمان‌هایی که از VMware Identity Access Management استفاده می‌کنند دراسرع‌وقت با مراجعه به نشانی‌های زیر، توصیه‌نامه VMWare را مطالعه و به‌روزرسانی‌های مربوط را اعمال کنند.

همچنین استفاده‌کنندگان از این بستر مجازی باید ضمن بررسی معماری VMware خود، اطمینان حاصل کنند که اجزای آسیب‌‌پذیر به طور تصادفی در اینترنت در دسترس نیستند، چون این امر به طور چشمگیری احتمال بهره‌‌جویی را افزایش خواهد داد.
https://www.vmware.com/security/advisories.html
https://www.vmware.com/security/advisories/VMSA-۲۰۲۲-۰۰۱۱.html

مشروح گزارش شرکت Morphisec در خصوص این حملات، فهرست نشانه‌های آلودگی (Indicators-of-Compromise – به‌اختصار IoC) و جزئیات فنی عملکرد آن در نشانی زیر قابل‌مطالعه است.
https://blog.morphisec.com/vmware-identity-manager-attack-backdoor