Hackers iranianos exploram bug do VMware RCE para implantar backdoor de 'impacto de código'

2 years ago
44

"#aiedonline em youtube.com/c/aiedonline"

Livro Linux: https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
Livro Hacker: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing

Seja membro: https://youtu.be/fEdz5zX2-4M
TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h

Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com

Any Bonny (Português): https://www.youtube.com/channel/UCMsbLgU8OUFA2jKgSsvihNg
Any Bonny (English): https://www.youtube.com/channel/UCMsbLgU8OUFA2jKgSsvihNg

Hackers iranianos exploram bug do VMware RCE para implantar backdoor de 'impacto de código'

Um agente de ameaças ligado ao Irã conhecido como Rocket Kitten foi observado explorando ativamente uma vulnerabilidade VMware corrigida recentemente para obter acesso inicial e implantar a ferramenta de teste de penetração Core Impact em sistemas vulneráveis.
Rastreado como CVE-2022-22954 (pontuação CVSS: 9,8), o problema crítico diz respeito a um caso de vulnerabilidade de execução remota de código (RCE) que afeta o VMware Workspace ONE Access e o Identity Manager.
Embora o problema tenha sido corrigido pelo provedor de serviços de virtualização em 6 de abril de 2022, a empresa alertou os usuários sobre a exploração confirmada da falha ocorrendo na natureza uma semana depois.
“Um agente malicioso que explora essa vulnerabilidade RCE potencialmente ganha uma superfície de ataque ilimitada”, disseram pesquisadores do Morphisec Labs em um novo relatório.
"Isso significa o mais alto acesso privilegiado a qualquer componente do ambiente host e convidado virtualizado."
As cadeias de ataque que exploram a falha envolvem a distribuição de um stager baseado em PowerShell, que é usado para baixar uma carga útil de próximo estágio chamada PowerTrash Loader que, por sua vez, injeta a ferramenta de teste de penetração, Core Impact, na memória para atividades subsequentes .
“O uso generalizado do gerenciamento de acesso de identidade VMWare combinado com o acesso remoto irrestrito que este ataque fornece é uma receita para violações devastadoras em todos os setores”, disseram os pesquisadores.
"Os clientes do VMware também devem revisar sua arquitetura VMware para garantir que os componentes afetados não sejam publicados acidentalmente na Internet, o que aumenta drasticamente os riscos de exploração".

Loading comments...