{"id":5823,"date":"2022-04-28T09:39:01","date_gmt":"2022-04-28T14:39:01","guid":{"rendered":"https:\/\/etek.com\/es\/?p=5823"},"modified":"2022-04-28T09:39:01","modified_gmt":"2022-04-28T14:39:01","slug":"hackers-aprovechan-el-error-vmware-rce-para-crear-puertas-traseras","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/hackers-aprovechan-el-error-vmware-rce-para-crear-puertas-traseras\/","title":{"rendered":"Hackers aprovechan el error VMware RCE para crear puertas traseras."},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"5823\" class=\"elementor elementor-5823\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-c08fc0c elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"c08fc0c\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-e8e4e86\" data-id=\"e8e4e86\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-e3068d9 elementor-widget elementor-widget-text-editor\" data-id=\"e3068d9\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p class=\"MsoNormal\">Hackers Iranies serian responsables de implementar puertas traseras mediante ejecuci\u00f3n de c\u00f3digo remoto.<\/p><p class=\"MsoNormal\">Se ha detectado que un grupo de ciber atacantes iran\u00edes conocidos como Rocket Kitten realiz\u00f3 intentos de explotaci\u00f3n de la vulnerabilidad CVE-2022-22954 categorizada con un nivel de gravedad de 9.8\/10 seg\u00fan CVSS, la cual se encuentra asociada a la ejecuci\u00f3n de c\u00f3digo remoto, dicha vulnerabilidad afecta a VMware Workspace ONE Access tambi\u00e9n conocido como VMware Identity Manager, esta herramienta se encarga de administrar los accesos por m\u00faltiples factores de autenticaci\u00f3n, accesos condicionales e inicios de sesi\u00f3n hacia servidores SaaS, aplicaciones m\u00f3viles y servidores Web, cabe resaltar que el error fue parcheado por la entidad el pasado 6 de abril en conjunto con 2 vulnerabilidades m\u00e1s (CVE-2022- 22957 y CVE-2022-22958) que tambi\u00e9n afectan al producto previamente mencionado.<\/p><p>\u00a0<\/p><p class=\"MsoNormal\">Una vez se dio a conocer la falla detectada sobre VMware se public\u00f3 una prueba de concepto mediante la cual se explotaba la vulnerabilidad, con dicha informaci\u00f3n los atacantes realizaron intentos masivos de explotaci\u00f3n sobre la infraestructura vulnerable, teniendo en cuenta lo indicado por la propia entidad (VMware).<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-9642fd3 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"9642fd3\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-ee53b33\" data-id=\"ee53b33\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-94012fd elementor-widget elementor-widget-image\" data-id=\"94012fd\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t<figure class=\"wp-caption\">\n\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/04\/Hackers-aprovechan-el-error-VMware-RCE-para-crear-puertas-traseras-1.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t<figcaption class=\"widget-image-caption wp-caption-text\">Flujo de ataque (tomado MORPHISEC)<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-d8ba4a8 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"d8ba4a8\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-fee94df\" data-id=\"fee94df\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-a597df0 elementor-widget elementor-widget-text-editor\" data-id=\"a597df0\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Seg\u00fan la descripci\u00f3n realizada por la entidad Morphisec, los atacantes realizaban una inyecci\u00f3n de c\u00f3digo en el Apache Tomcat utilizado por VMware Workspace ONE Access, esto por medio de una plantilla que posteriormente permit\u00eda ejecutar comandos maliciosos de manera remota sobre la maquina afectada. Una vez el atacante obtiene el acceso inicial sobre el objetivo se despliega un PowerShell que cumple el rol de intermediario entre el servidor afectado y el atacante, mediante este se realiza la descarga de un script llamado Power Trash Loader, mediante el cual se realizan los payloads provistos por el servidor de comando y control, por medio de este se realiza el despliegue del agente de Core Impact (Herramienta de pentesting y testeo de vulnerabilidades inform\u00e1ticas) en la memoria del sistema, dicho proceso se ejecuta sin dejar ning\u00fan tipo de evidencia forense en el disco.<\/p><p>Este tipo de ataques podr\u00edan ser utilizados no solo para crear puertas traseras, sino que tambi\u00e9n podr\u00edan inyectar malware o realizar minado de criptomonedas seg\u00fan lo indicado por Morphisec, por esto la recomendaci\u00f3n principal es aplicar los parches generados por Vmware para evitar cualquier tipo de incidente, otra sugerencia generada indica que se debe validar la arquitectura de los sistemas afectados, esto debido a que si se encuentran publicados en internet, lo que implicar\u00eda una mayor exposici\u00f3n ante posibles atacantes y un riesgo cr\u00edtico para las entidades afectadas.<\/p><p><strong>RECOMENDACIONES<\/strong><\/p><ul><li>Aplicar la instalaci\u00f3n de los parches publicados por Vmware (https:\/\/kb.vmware.com\/s\/article\/88099) para dar soluci\u00f3n a la vulnerabilidad.<\/li><li>Contar con software adicional a los Firewall, como los IPS, WAF, balanceadores de cargas y dem\u00e1s protecciones perimetrales para evitar ataques de d\u00eda zero y explotaci\u00f3n de vulnerabilidades.<\/li><\/ul><p><strong>FUENTES<\/strong><\/p><ul><li><a href=\"https:\/\/thehackernews.com\/2022\/04\/iranian-hackers-exploiting-vmware-rce.html\">https:\/\/thehackernews.com\/2022\/04\/iranian-hackers-exploiting-vmware-rce.html<\/a><\/li><li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors\/\">https:\/\/www.bleepingcomputer.com\/news\/security\/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors\/<\/a><\/li><li><a href=\"https:\/\/blog.morphisec.com\/vmware-identity-manager-attack-backdoor\">https:\/\/blog.morphisec.com\/vmware-identity-manager-attack-backdoor<\/a><\/li><li><a href=\"https:\/\/www.darkreading.com\/attacks-breaches\/-iranian-group-among-those-exploiting-recently-disclosed-rce-flaw-in-vmware\">https:\/\/www.darkreading.com\/attacks-breaches\/-iranian-group-among-those-exploiting-recently-disclosed-rce-flaw-in-vmware<\/a><\/li><\/ul><p>\u00a0<\/p><p><strong>Fabian Caballero<\/strong><\/p><p>Cyber Intelligence Engineer<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Hackers Iranies serian responsables de implementar puertas traseras mediante ejecuci\u00f3n de c\u00f3digo remoto. Se ha detectado que un grupo de ciber atacantes iran\u00edes conocidos como Rocket Kitten realiz\u00f3 intentos de explotaci\u00f3n de la vulnerabilidad CVE-2022-22954 categorizada con un nivel de gravedad de 9.8\/10 seg\u00fan CVSS, la cual se encuentra asociada a la ejecuci\u00f3n de c\u00f3digo [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":5825,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5823"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=5823"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5823\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=5823"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=5823"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=5823"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}