Hackers Iranies serian responsables de implementar puertas traseras mediante ejecución de código remoto.
Se ha detectado que un grupo de ciber atacantes iraníes conocidos como Rocket Kitten realizó intentos de explotación de la vulnerabilidad CVE-2022-22954 categorizada con un nivel de gravedad de 9.8/10 según CVSS, la cual se encuentra asociada a la ejecución de código remoto, dicha vulnerabilidad afecta a VMware Workspace ONE Access también conocido como VMware Identity Manager, esta herramienta se encarga de administrar los accesos por múltiples factores de autenticación, accesos condicionales e inicios de sesión hacia servidores SaaS, aplicaciones móviles y servidores Web, cabe resaltar que el error fue parcheado por la entidad el pasado 6 de abril en conjunto con 2 vulnerabilidades más (CVE-2022- 22957 y CVE-2022-22958) que también afectan al producto previamente mencionado.
Una vez se dio a conocer la falla detectada sobre VMware se publicó una prueba de concepto mediante la cual se explotaba la vulnerabilidad, con dicha información los atacantes realizaron intentos masivos de explotación sobre la infraestructura vulnerable, teniendo en cuenta lo indicado por la propia entidad (VMware).
Según la descripción realizada por la entidad Morphisec, los atacantes realizaban una inyección de código en el Apache Tomcat utilizado por VMware Workspace ONE Access, esto por medio de una plantilla que posteriormente permitía ejecutar comandos maliciosos de manera remota sobre la maquina afectada. Una vez el atacante obtiene el acceso inicial sobre el objetivo se despliega un PowerShell que cumple el rol de intermediario entre el servidor afectado y el atacante, mediante este se realiza la descarga de un script llamado Power Trash Loader, mediante el cual se realizan los payloads provistos por el servidor de comando y control, por medio de este se realiza el despliegue del agente de Core Impact (Herramienta de pentesting y testeo de vulnerabilidades informáticas) en la memoria del sistema, dicho proceso se ejecuta sin dejar ningún tipo de evidencia forense en el disco.
Este tipo de ataques podrían ser utilizados no solo para crear puertas traseras, sino que también podrían inyectar malware o realizar minado de criptomonedas según lo indicado por Morphisec, por esto la recomendación principal es aplicar los parches generados por Vmware para evitar cualquier tipo de incidente, otra sugerencia generada indica que se debe validar la arquitectura de los sistemas afectados, esto debido a que si se encuentran publicados en internet, lo que implicaría una mayor exposición ante posibles atacantes y un riesgo crítico para las entidades afectadas.
RECOMENDACIONES
- Aplicar la instalación de los parches publicados por Vmware (https://kb.vmware.com/s/article/88099) para dar solución a la vulnerabilidad.
- Contar con software adicional a los Firewall, como los IPS, WAF, balanceadores de cargas y demás protecciones perimetrales para evitar ataques de día zero y explotación de vulnerabilidades.
FUENTES
- https://thehackernews.com/2022/04/iranian-hackers-exploiting-vmware-rce.html
- https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors/
- https://blog.morphisec.com/vmware-identity-manager-attack-backdoor
- https://www.darkreading.com/attacks-breaches/-iranian-group-among-those-exploiting-recently-disclosed-rce-flaw-in-vmware
Fabian Caballero
Cyber Intelligence Engineer
