据观察,一名与伊朗有联系的威胁行为者火箭小猫积极利用最近修补的VMware漏洞,以获得初始访问权限,并在脆弱的系统上部署核心影响渗透测试工具。
跟踪为CVE-2022-22954(CVSS评分:9.8),关键问题涉及影响VMware Workspace ONE Access和Identity Manager的远程代码执行(RCE)漏洞。
虽然虚拟化服务提供商于2022年4月6日修复了这个问题,但该公司警告用户一周后确认利用野外发生的缺陷。
Morphisec Labs的研究人员在一份新报告中表示,利用此RCE漏洞的恶意行为者可能会获得无限的攻击表面。这意味着对虚拟主机和访客环境的任何组件的最高权限访问。
利用缺陷的攻击链涉及分发基于PowerShell的阶段,然后用于下载名为PowerTrash Loader的下一阶段有效负载,该有效负载反过来将渗透测试工具Core Impact注入内存中,以进行后续活动。
研究人员表示,VMWare身份访问管理的广泛使用,加上这种攻击提供的不受约束的远程访问,是跨行业破坏性漏洞的秘诀。
VMWare客户还应该审查他们的VMware架构,以确保受影响的组件不会意外发布在互联网上,这大大增加了开发风险。