Эксперты предупредили, что предполагаемые правительственные хакеры активно используют две уязвимости (обе с рейтингом 9,8 балла из 10 возможных по шкале CVSS), в надежде заразить корпоративные сети бэкдорами и другой малварью.
Еще в апреле текущего года эксперты VMware обнаружили и исправили RCE-уязвимость CVE-2022-22954, а также уязвимость повышения привилегий CVE-2022-22960. Согласно бюллетеню безопасности, опубликованному на этой неделе Агентством по инфраструктуре и кибербезопасности США (CISA), хакеры смогли отреверсить оба патча и создали эксплоиты менее чем за 48 часов, а затем принялись атаковать уязвимости.
После компрометации уязвимого устройства, злоумышленники используют полученный root-доступ для установки веб-шелла Dingo J-spy. Известно, что от таких атак уже пострадали как минимум три неназванные организаций.
По данным CISA, ответственно за эти атаки, скорее всего, лежит на APT-группировках, то есть хорошо финансируемые и технически продвинутых хакерах, за которыми, как правило, стоят правительства различных стран.
«Согласно отчетам надежных третьих сторон, злоумышленники могут объединять эти уязвимости в цепочку. В одной организации, скомпрометированной 12 апреля 2022 года, неавторизованный атакующий с сетевым доступом к веб-интерфейсу использовал CVE-2022-22954 для выполнения произвольной шелл-команды от имени пользователя VMware. Затем злоумышленник воспользовался CVE-2022-22960, чтобы повысить привилегии до root. Имея root-доступ, он получил возможность стирать журналы, смог получить больше разрешений и перемещаться в другие системы», — гласит предупреждение CISA.
Также на этой неделе VMware предупредила клиентов о необходимости немедленного исправления другой критической уязвимости, допускающей обход аутентификации и «влияющей на пользователей локального домена», что можно использовать для получения прав администратора. Уязвимость получила идентификатор CVE-2022-22972.
Другой баг, исправленный на этой неделе, получил идентификатор CVE-2022-22973 и может использоваться для локального повышения привилегий. С помощью этой проблемы злоумышленники могут повысить свои права до уровня root.
Полный список продуктов VMware, на которые влияют свежие уязвимости, включает:
- VMware Workspace ONE Access;
- VMware Identity Manager (vIDM);
- VMware vRealize Automation (vRA);
- VMware Cloud Foundation;
- vRealize Suite Lifecycle Manager.