Bilgisayar Korsanları, Kötü Amaçlı Yazılım Yüklemek için VMware'de Kritik Uzaktan Kod Yürütmeden Yararlandı

ReusLux
22 Eki, 2022

Google News Abone Ol

Bilgisayar Korsanları, Kötü Amaçlı Yazılım Yüklemek için VMware'de Kritik Uzaktan Kod Yürütmeden Yararlandı

Morphisec'teki siber güvenlik araştırmacıları geçenlerde VMware Workspace ONE Access'te gelişmiş bilgisayar korsanları tarafından aktif olarak sömürülen kritik bir RCE güvenlik açığı keşfettiler ve bu kritik kusur "CVE-2022-22954" olarak izlendi.

Bilinen diğer iki RCE, CVE-2022-22957 ve CVE-2022-22958 ile birlikte, sorun yapılan bir güvenlik güncellemesinde giderildi.

Yukarıdaki iki RCE, aşağıdaki VMware ürünlerini de etkiler:

  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager

Kısa bir süre önce, kusurların kamuya açıklanmasından kısa bir süre sonra kamuya açık olan birkaç kavram kanıtı (POC) istismar kodu vardı.

Son birkaç yıldır VMware ürünlerindeki güvenlik açıklarından yararlanan bilgisayar korsanlarının artan bir eğilimi olmuştur. VMware tarafından onaylanan CVE-2022-22954'ün istismarları olmuştur.

Saldırı Zinciri

CVE-2022-22954'ten yararlanarak, saldırganlar başlangıçta ağ ortamına erişebilir. Üç RCE arasında, birincisi hedef sunucuya idari erişim gerektirmez ve ikincisi de halka açık bir gösteri istismarına sahiptir.

Saldırı, güvenlik açığından etkilenen hizmette (Identity Manager) PowerShell komutuyla bir sahneleyici başlatılarak başlar. Bundan sonra, C2 sunucusundan son derece karmaşık bir PowerTrash yükleyici indirilir ve belleğe bir Core Impact aracısı yüklenir.

Dahili bağlantılar

Analiz sırasında, Morphisec'teki uzmanlar aşağıdaki şeyleri ve unsurları almayı başardılar:

  • Stager sunucusunun C2 adresi
  • Core Impact istemci sürümü
  • C2 iletişimi için kullanılan 256 bit şifreleme anahtarı

Bütün bunların belirli bir kişi ve bir şirketle bağlantılı olduğu bulunmuştur:

  • Kişi adı: [Ivan Neculiti]
  • Şirket adı: [Stark Industries]

Veritabanında listelenen şirketlerden birinin, spam ve kimlik avı kampanyalarında yem olarak kullanılan yasadışı web sitelerini destekleyen bir internet barındırma şirketi olduğu iddia ediliyor.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url