Эксперты предупредили, что предполагаемые правительственные хакеры активно используют две уязвимости (обе с рейтингом 9,8 балла из 10 возможных по шкале CVSS), в надежде заразить корпоративные сети бэкдорами и другой малварью.

Еще в апреле текущего года эксперты VMware обнаружили и исправили RCE-уязвимость CVE-2022-22954, а также уязвимость повышения привилегий CVE-2022-22960. Согласно бюллетеню безопасности, опубликованному на этой неделе Агентством по инфраструктуре и кибербезопасности США (CISA), хакеры смогли отреверсить оба патча и создали эксплоиты менее чем за 48 часов, а затем принялись атаковать уязвимости.

После компрометации уязвимого устройства, злоумышленники используют полученный root-доступ для установки веб-шелла Dingo J-spy. Известно, что от таких атак уже пострадали как минимум три неназванные организаций.

По данным CISA, ответственно за эти атаки, скорее всего, лежит на APT-группировках, то есть хорошо финансируемые и технически продвинутых хакерах, за которыми, как правило, стоят правительства различных стран.

«Согласно отчетам надежных третьих сторон, злоумышленники могут объединять эти уязвимости в цепочку. В одной организации, скомпрометированной 12 апреля 2022 года, неавторизованный атакующий с сетевым доступом к веб-интерфейсу использовал CVE-2022-22954 для выполнения произвольной шелл-команды от имени пользователя VMware. Затем злоумышленник воспользовался CVE-2022-22960, чтобы повысить привилегии до root. Имея root-доступ, он получил возможность стирать журналы, смог получить больше разрешений и перемещаться в другие системы», — гласит предупреждение CISA.

Также на этой неделе VMware предупредила клиентов о необходимости немедленного исправления другой критической уязвимости, допускающей обход аутентификации и «влияющей на пользователей локального домена», что можно использовать для получения прав администратора. Уязвимость получила идентификатор CVE-2022-22972.

Другой баг, исправленный на этой неделе, получил идентификатор CVE-2022-22973 и может использоваться для локального повышения привилегий. С помощью этой проблемы злоумышленники могут повысить свои права до уровня root.

Полный список продуктов VMware, на которые влияют свежие уязвимости, включает:

  • VMware Workspace ONE Access;
  • VMware Identity Manager (vIDM);
  • VMware vRealize Automation (vRA);
  • VMware Cloud Foundation;
  • vRealize Suite Lifecycle Manager.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии