سواستفاده هکرهای ایرانی از باگ RCE VMware برای استقرار Core Impact Backdoor
اخبار داغ فناوری اطلاعات و امنیت شبکه
بنا بر ادعای هکرنیوز، یک عامل تهدید مرتبط با ایران که با نام Rocket Kitten شناخته میشود، به طور فعال از آسیبپذیری VMware پچشده به تازگی برای دسترسی اولیه و استقرار ابزار تست نفوذ Core Impact در سیستمهای آسیبپذیر استفاده میکند.
این آسیبپذیری که تحت عنوان CVE-۲۰۲۲-۲۲۹۵۴ (امتیاز CVSS: 9.8) ردیابی میشود، مربوط به آسیبپذیری اجرای کد از راه دور (RCE) است که VMware Workspace ONE Access and Identity Manager را تحت تأثیر قرار میدهد.
در حالی که این مشکل توسط ارائهدهنده خدمات مجازیسازی در ۶ آوریل ۲۰۲۲ اصلاح شده است، این شرکت یک هفته بعد به کاربران از سواستفاده تأیید شده از نقصی که در فضای سایبری در حال رخ دادن است، هشدار داد.
محققان Morphisec Labs در گزارشی جدید گفتند: «یک عامل مخرب که از این آسیبپذیری RCE سواستفاده میکند، به طور بالقوه سطح حمله نامحدودی به دست میآورد. این به معنای دسترسی بالاترین اختیار به هر یک از اجزای مجازی هاست و محیط مهمان است».
زنجیره حملاتی که از این نقص استفاده میکنند شامل توزیع مرحلهای مبتنی بر PowerShell است که سپس برای دانلود یک payload مرحله بعدی به نام PowerTrash Loader استفاده میشود که به نوبه خود، ابزار تست نفوذ، Core Impact را برای فعالیتهای بعدی به حافظه تزریق میکند.
محققان میگویند: «استفاده گسترده از مدیریت دسترسی هویت VMWare همراه با دسترسی از راه دور بدون محدودیتی که این حمله ارائه میکند، دستورالعملی برای رخنههای ویرانگر در سراسر صنایع است».
آنها افزودند: «مشتریان VMWare همچنین باید معماری و ساختار VMware خود را بررسی کنند تا مطمئن شوند که اجزای آسیب دیده به طور تصادفی در اینترنت منتشر نمیشوند، که به طور چشمگیری خطرات و ریسک بهرهبرداری را افزایش میدهد».
برچسب ها: PowerTrash Loader, Core Impact, VMware Workspace, اجرای کد از راه دور, پچ, Payload, Iran, RCE, PowerShell, Patch, cybersecurity, VMware, ایران, آسیبپذیری, Remote Code Execution, Vulnerability, Rocket Kitten, تست نفوذ, فضای سایبری, backdoor, امنیت سایبری, Cyber Attacks, حمله سایبری