Een aan Iran gelieerde dreigingsactor die bekend staat als Raket Kitten Er is waargenomen dat actief gebruik wordt gemaakt van een recent gepatchte VMware-kwetsbaarheid om de eerste toegang te krijgen en de Core Impact-penetratietesttool op kwetsbare systemen te implementeren.
Bijgehouden als CVE-2022-22954 (CVSS-score: 9,8), betreft het kritieke probleem een geval van een kwetsbaarheid voor de uitvoering van externe code (RCE) die van invloed is op VMware Workspace ONE Access en Identity Manager.
Hoewel het probleem op 6 april 2022 door de virtualisatieserviceprovider werd gepatcht, waarschuwde het bedrijf gebruikers voor bevestigde exploitatie van de fout die een week later in het wild optrad.
“Een kwaadwillende actor die misbruik maakt van deze RCE-kwetsbaarheid, krijgt mogelijk een onbeperkt aanvalsoppervlak”, onderzoekers van Morphisec Labs zei in een nieuw rapport. “Dit betekent de hoogste bevoorrechte toegang tot alle componenten van de gevirtualiseerde host- en gastomgeving.”
Aanvalsketens die misbruik maken van de fout, omvatten de distributie van een op PowerShell gebaseerde stager, die vervolgens wordt gebruikt om een next-stage payload genaamd PowerTrash Loader te downloaden die op zijn beurt de penetratietesttool, Core Impact, in het geheugen injecteert voor vervolgactiviteiten .
“Het wijdverbreide gebruik van VMWare-identiteitstoegangsbeheer in combinatie met de onbelemmerde toegang op afstand die deze aanval biedt, is een recept voor verwoestende inbreuken in alle sectoren”, aldus de onderzoekers.
“VMWare-klanten moeten ook hun VMware-architectuur herzien om ervoor te zorgen dat de getroffen componenten niet per ongeluk op internet worden gepubliceerd, wat de exploitatierisico’s dramatisch verhoogt.”
