يکشنبه, 13 آذر 1401
  • ساعت : ۱۵:۱۴
  • تاريخ :
     ۱۴۰۱/۰۲/۱۷ 
  • کد خبر : ۲۰۹۲
بهره‌جویی مهاجمان از ضعف امنیتی VMware
گروه مهاجم سایبری Rocket Kitten از یک نقطه‌ضعف ترمیم شده در بستر VMware بر روی سیستم‌های آسیب‌پذیر، از جمله ابزار تست نفوذ Core Impact، برای دسترسی اولیه و توزیع ابزارهای مخرب خود سوءاستفاده گسترده کرده است.

به گزارش مرکز مدیریت راهبردی افتا، آسیب‌پذیری موردنظر با شناسه CVE-2022-22954 درجه "حیاتی" (Critical) با شدت 8/9 از 10 (بر طبق استاندارد CVSS) دارد و از نوع "اجرای کد از راه دور" (Remote Code Execution – به‌اختصار RCE) است. این آسیب‌پذیری در بخش VMware Workspace ONE Access and Identity Manager شناسایی شده است.
در 17 فروردین 1401، شرکت وی‌ام‌ور (VMware, Inc.) با انتشار توصیه‌نامه‌ امنیتی، اصلاحیه‌ای برای آسیب‌پذیری یادشده در این نشانی‌ (https://www.vmware.com/security/advisories/VMSA-2022-0011.html) منتشر کرد. در 22 فروردین، یک نمونه اثبات‌گر (Proof-of-Concept – به‌اختصار PoC) نیز برای آن ارائه شد و در 24 فروردین اولین بهره‌جویی از این ضعف امنیتی شناسایی شد.
VMWare بستر رایانش ابری و مجازی‌سازی 30 میلیارد دلاری است که500 هزار سازمان در سراسر جهان از آن استفاده می‌کنند. هنگامی که یک مهاجم از آسیب‌پذیری CVE-2022-22954 سوءاستفاده ‌می‌کند، به طور بالقوه قادر به حمله در سطح وسیع و نامحدودی است. این به معنای بالاترین سطح دسترسی به هر مؤلفه‌ای در بستر مجازی است. در این شرایط، سازمان‌های آسیب‌پذیر با حملات نفوذی قابل‌توجه، باج‎‌گیری، آسیب به شهرت برند و شکایت‌های قضایی روبرو خواهند شد.

0053 - copy 1.jpg

زنجیره حملاتی که از این آسیب‌پذیری سوءاستفاده می‌کند، شامل توزیع یک برنامه مخرب مبتنی بر PowerShell بر روی سیستم آسیب‌پذیر است که به نوبه خود، اقدام به دریافت بخش بعدی کد مخرب می‌کند که PowerTrash Loader نامیده می‌شود. در مرحله بعد، با اجرای این کد مخرب، ابزار تست نفوذ Core Impact در حافظه سیستم برای اقدامات بعدی قرار داده می‌شود.
مهاجمان سایبری از ابزارهای تست نفوذ نظیر Core Impact برای انجام عملیات مخرب خود سوءاستفاده می‌کنند.
گستردگی به‌کارگیری VMware Identity Access Management  همراه با دسترسی نامحدود و از راه دور که از طریق این آسیب‌پذیری ایجاد شده، بهترین شرایط را برای حملات نفوذی در حوزه‌های مختلف کسب‌وکار فراهم می‌آورد. اکیداً توصیه می‌شود سازمان‌هایی که از VMware Identity Access Management استفاده می‌کنند دراسرع‌وقت با مراجعه به نشانی‌های زیر، توصیه‌نامه VMWare را مطالعه و به‌روزرسانی‌های مربوط را اعمال کنند. 
همچنین استفاده‌کنندگان از این بستر مجازی باید ضمن بررسی معماری VMware خود، اطمینان حاصل کنند که اجزای آسیب‌‌پذیر به طور تصادفی در اینترنت در دسترس نیستند، چون این امر به طور چشمگیری احتمال بهره‌‌جویی را افزایش خواهد داد.

https://www.vmware.com/security/advisories.html

https://www.vmware.com/security/advisories/VMSA-2022-0011.html

مشروح گزارش شرکت Morphisec در خصوص این حملات، فهرست نشانه‌های آلودگی (Indicators-of-Compromise – به‌اختصار IoC) و جزئیات فنی عملکرد آن در نشانی زیر قابل‌مطالعه است.

https://blog.morphisec.com/vmware-identity-manager-attack-backdoor

منابع:

(با تشکر از شرکت مهندسی شبکه‌گستر برای همکاری در تهیه این گزارش)
 

امتیاز :  ۰ |  مجموع :  ۰

برچسب ها

    تهران، خیابان قائم مقام فراهانی ،کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا
    ایمیل: info@afta.gov.ir
    6.0.15.0
    V6.0.15.0