Hackers utilizan vulnerabilidad crítica de RCE en VMware para instalar backdoors

Hackers están explotando activamente una vulnerabilidad crítica de ejecución remota de código (RCE), CVE-2022-22954 con puntución CVSS de 9.8, que afecta a VMware Workspace ONE Access (anteriormente llamado VMware Identity Manager).

El problema se solucionó en una actualización de seguridad hace 20 días junto con dos RCE más: CVE-2022-22957 y CVE-2022-22958 que también afectan a VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manager.

Poco después de la divulgación pública de las fallas, el código de explotación de prueba de concepto (PoC) surgió en el espacio público, lo que permitió a los hackers aprovecharse de las implementaciones vulnerables de productos de VMware. VMware confirmó un gran aumento en la explotación de CVE-2022-22954.

Investigadores de Morphisec informan haber visto explotación por parte de actores de amenazas persistentes avanzadas (APT), en particular un grupo de piratería iraní conocido como APT35 o Rocket Kitten.

Patrón de ataque

El ataque comienza con la ejecución de un comando de PowerShell en el servicio vulnerable (Administrador de identidades).

Luego, el organizador obtiene el cargador PowerTrash del servidor de comando y control (C2) en una forma muy ofuscada y carga un agente Core Impact en la memoria del sistema.

El patrón de ataque del grupo APT35

Core Impact es una herramienta de prueba de penetración legítima que se abusa con fines nefastos en este caso, similar a cómo se implementa Cobalt Strike en campañas maliciosas.

Sin embargo, este no es un elemento novedoso. Trend Micro ha informado sobre el abuso de Core Impact en el pasado por parte de APT35, la actividad se remonta a 2015.

Versiones afectadas:

ProductoVersión
VMware Workspace ONE Access Appliance21.08.0.1
VMware Workspace ONE Access Appliance21.08.0.0
VMware Workspace ONE Access Appliance20.10.0.1
VMware Workspace ONE Access Appliance20.10.0.0
VMware Identity Manager Appliance3.3.6
VMware Identity Manager Appliance3.3.5
VMware Identity Manager Appliance3.3.4
VMware Identity Manager Appliance3.3.3
VMware Realize Automation7.6

Recomendaciones:

Actualizar a las versiones:

ProductoVersiónValidación
VMware Workspace ONE Access Appliance21.08.0.1Número de compilación 19539711
VMware Workspace ONE Access Appliance21.08.0.0Número de compilación 19539711
VMware Workspace ONE Access Appliance20.10.0.1Número de compilación 19540061
VMware Workspace ONE Access Appliance20.10.0.0Número de compilación 19540061
VMware Identity Manager Appliance3.3.6Validar el parche HW-154129-3.3.6.0-hotfix.applied en /usr/local/horizon/conf/flags/
VMware Identity Manager Appliance3.3.5Validar el parche HW-154129-3.3.5.0i-hotfix.applied en /usr/local/horizon/conf/flags/
VMware Identity Manager Appliance3.3.4Validar el parche HW-154129-3.3.4.0-hotfix.applied en /usr/local/horizon/conf/flags/
VMware Identity Manager Appliance3.3.3Validar el parche HW-154129-3.3.3.0-hotfix.applied en /usr/local/horizon/conf/flags/

Referencias: