В Интернете появился пробный эксплойт для уязвимости VMware CVE-2022-22954 для удаленного выполнения кода, которая уже используется в активных атаках, заражающих серверы майнерами монет.
Уязвимость представляет собой критическое (CVSS: 9.8) удаленное выполнение кода (RCE), затрагивающее VMware Workspace ONE Access и VMware Identity Manager, два широко используемых программных продукта.
Производитель программного обеспечения выпустил консультацию по безопасности для уязвимости 6 апреля 2022 года, предупреждая о возможности того, что субъект угрозы, имеющий доступ к сети, может запустить инъекцию шаблона на стороне сервера, что приведет к RCE.
VMware выпустила обновления безопасности для затронутых продуктов и инструкции по обходным путям, чтобы помочь устранить риск для развертываний, которые администраторы не могут обновить немедленно.
В то же время компания подчеркнула важность устранения конкретной уязвимости: «Эта критическая уязвимость должна быть немедленно исправлена или устранена в соответствии с инструкциями в VMSA-2021-0011. Последствия этой уязвимости очень серьезны».
Уязвимость активно используется в атаках
На этой неделе многочисленные исследователи безопасности создали рабочие эксплойты для CVE-2022-22954, по крайней мере, один из них был опубликован в Twitter.
Хотя обнародование эксплойтов повышает риск того, что угрожающие субъекты будут использовать их в атаках, они также призваны помочь защитить системы путем тестирования и служить в качестве проверки существующих исправлений/патчей.
Сегодня субъекты угроз активно сканируют уязвимые узлы, а компания Bad Packets, занимающаяся анализом кибербезопасности, сообщила BleepingComputer, что они обнаруживают попытки эксплуатации уязвимости в дикой природе.
IP-адрес 106.246.224.219, использованный в полезной нагрузке, недавно был замечен в других атаках, в которых использовался бэкдор Linux Tsunami. Однако неясно, что представляет собой исполняемый файл ‘one’, поскольку он больше недоступен.
Исследователь безопасности Дэниел Кард также поделился в Twitter, что уязвимость эксплуатируется для сброса полезной нагрузки coinminer, что обычно является первой атакой, которую мы видим, когда угрожающие субъекты нацеливаются на новую уязвимость.
Некоторые из этих субъектов угроз затем закрывают уязвимость, как только получают контроль над сервером.
Кард сказал BleepingComputer, что, скорее всего, вскоре мы увидим, как банды разработчиков программ-выкупов начнут использовать этот эксплойт для бокового распространения в сетях.
В связи с активной эксплуатацией уязвимости, если вы еще не применили обновления безопасности VMware или средства защиты, необходимо сделать это как можно скорее.
Для пользователей продуктов VMware стоит отметить, что в рекомендации производителя перечислены несколько дефектов высокой степени серьезности, помимо вышеупомянутого RCE, которые затрагивают дополнительные продукты, помимо Workspace One Access и Identity Manager, поэтому убедитесь, что вы используете последнюю доступную версию.
Последнее обновление 05.01.2023
