سوء استفاده هکرهای ایرانی باگ RCE VMware


به این مطلب امتیاز دهید

یک عامل تهدید مرتبط با ایران که به نام Rocket Kitten شناخته می شود،  به طور فعال از یک آسیب پذیری VMware ایمن شده اخیر برای دستیابی به دسترسی اولیه و استقرار ابزار تست نفوذ Core Impact بر روی سیستم های آسیب پذیر سوء استفاده می کند.

این آسیب پذیری که با نام CVE-2022-22954 (امتیاز CVSS: 9.8) شناخته می‌ شود، مربوط به آسیب‌ پذیری اجرای کد از راه دور (RCE) است که VMware Workspace ONE Access and Identity Manager را تحت تأثیر قرار می‌دهد.

در حالی که این مشکل توسط ارائه‌ دهنده خدمات مجازی‌ سازی در ۶ آوریل ۲۰۲۲ ایمن شد، این شرکت یک هفته بعد به کاربران در مورد انتشار یک Exploit تایید شده از این آسیب پذیری هشدار داد

محققان آزمایشگاه Morphisec در گزارشی جدید گفتند: “یک عامل مخرب که از این آسیب‌ پذیری RCE سوء استفاده می‌ کند، به قابل توجهی سطح حمله نامحدودی را به دست می‌ آورد.” “این به معنای دسترسی بالاترین امتیاز به هر یک از اجزای میزبان مجازی و محیط مهمان است.”

زنجیره‌ های حمله‌ ای که از این آسیب پذیری اسبتفاده می‌ کنند شامل توزیع مرحله‌ ای مبتنی بر PowerShell است که برای دانلود یک بار مرحله بعدی به نام PowerTrash Loader استفاده می‌ شود که به نوبه خود، ابزار تست نفوذ، Core Impact را برای فعالیت‌ های بعدی به حافظه تزریق می‌ کند.

محققان می‌گویند: «استفاده گسترده از VMWare identity access management همراه با دسترسی از راه دوری که این حمله ارائه می‌ کند، دستورالعملی برای رخنه‌ های ویرانگر در سراسر صنایع است».

“مشتریان VMWare همچنین باید معماری VMware خود را بررسی کنند تا مطمئن شوند که اجزای آسیب دیده به طور تصادفی در اینترنت منتشر نمی شوند، که به طور چشمگیری خطرات بهره برداری را افزایش می دهد.”

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.