Bazı satıcıların Rocket Kitten olarak takip ettiği İranlı bir siber casusluk grubu, savunmasız sistemlerde Core Impact penetrasyon testi aracını sunmak için VMWare Workspace ONE Access/Identity Manager teknolojisinde yakın zamanda yamalı kritik bir güvenlik açığından yararlanmaya başladı.
VMWare açıkladı uzaktan kod yürütme güvenlik açığı (CVE-2022-22954), 6 Nisan’da, aynı zamanda, şirkete özel olarak bildirilen toplam yedi diğer – biraz daha az kritik – güvenlik açığı için düzeltmelerle birlikte sorun için bir yama yayınladı. VMWare, RCE güvenlik açığını uzaktan kod yürütme için kullanılabilecek bir sunucu tarafı şablon ekleme sorunu olarak tanımladı. Yazılım satıcısı, diğer şeylerin yanı sıra, saldırganların güvenliği ihlal edilmiş ortamlarda en yüksek ayrıcalıklı erişimi elde etmesine izin verdiği için, 10 üzerinden 9,8’lik bir önem derecesi atadı.
Kusurun ifşa edilmesinden günler sonra, bunun için suistimal kanıtı kodu Twitter’da herkese açık hale geldi. Kısa bir süre sonra, tehdit aktörleri saldırmaya başladığı bildirildi savunmasız sunuculara kripto para madenciliği kurma kusuru.
Morphisec Pazartesi günü yayınladığı bir raporda, 14 ve 15 Nisan’da zafiyetten yararlanmaya başlayanlar arasında, onu savunmasız ağlara erişmek ve Core Impact, Cobalt Strike ve Metasploit beacons gibi ters HTTPS arka kapıları başlatmak için kullanan saldırganlar olduğunu söyledi. Güvenlik sağlayıcısı, saldırganların taktikleri, teknikleri ve prosedürlerinin Rocket Kitten ile bir bağlantı önerdiğini söyledi.
“Birçok grup istismar ediyor gibi görünüyor Morphisec CTO’su ve tehdit araştırması başkanı Michael Görelik, “Bu güvenlik açığı, ancak çalıntı Core Impact implantları dağıtan çok fazla grup yok” diyor ve ekliyor: “Burada hedef aldığımızı gördüğümüz ABD müşterisi, birçok ABD müşterisine erişimi olan bir müşteri. Maalesef şu anda bununla ilgili daha fazla ayrıntı paylaşamıyoruz.”
Morphisec, implant içindeki filigranın varlığını doğrulamak için Core Security’ye başvurduğunu söylüyor.
Hedeflenen ağda Core Impact arka kapısının bulunması, arka kapının başkaları tarafından çok nadiren kullanılmasından dolayı, bunun arkasında bir APT grubunun olduğunun bir göstergesi olduğunu söylüyor.
Fidye Yazılımı Riski
Morphisec, yeni güvenlik açığını, VMWare’in Workspace ONE Access/Identity Manager’ın, barındırma sunucusunda uzaktan komutların yürütülmesine izin veren bir Apache Tomcat bileşenine sunucu tarafı şablon enjeksiyonu olarak tanımladı. Güvenlik sağlayıcısı, kusurun fidye yazılımı saldırıları riskini ve savunmasız teknolojiyi kullanan kuruluşlar için önemli güvenlik ihlallerini büyük ölçüde artırdığını söyledi.
VMWare Workspace ONE Access, daha önce VMWare Identity Manager olarak biliniyordu. Teknoloji, kurumlara, kurumsal SaaS, mobil ve Web uygulaması ortamlarına erişmeye çalışan çalışanlar için çok faktörlü kimlik doğrulama, tek oturum açma ve koşullu erişim ilkelerini hızla uygulamak için bir yol sağlamak üzere tasarlanmıştır. Görelik, “Bu bir kimlik sağlayıcı ve yöneticidir” diyor. “Tüm kurumsal kullanıcılara erişimi var ve çevreye erişim kontrolü görevi görüyor.”
Morphisec, son zamanlarda VMWare teknolojisinde diğer iki RCE kusuru da dahil olmak üzere birkaç güvenlik açığının açıklandığını söyledi. CVE-2022-22958 ve CVE-2022-22957. Bu kusurların her ikisi de uzaktan yürütülebilir olsa da, saldırganın önce güvenlik açığı bulunan sunucuya yönetim erişimi kazanmış olması gerekir. Ancak Morphisec, bu ayın başlarındaki yeni kusurun, saldırganların bundan yararlanmak için bu düzeyde erişime sahip olmasını gerektirmediğini söyledi.
Karışımdaki PowerShell
Morphisec’in gözlemlediği saldırıda, saldırgan – güvenlik açığı bulunan sisteme ilk erişim sağladıktan sonra – üzerine bir PowerShell hazırlayıcı dağıttı ve bu da PowerTrash Loader adlı oldukça karmaşık bir PowerShell betiği indirdi. Yükleyici daha sonra bir adli kanıt izi bırakmadan sistem belleğine bir Core Impact ajanı yükledi.
Gorelik, Morphisec araştırmacılarının daha önce Rusya’nın FIN7’si gibi APT gruplarının, diğer kampanyalarda hedef sistemlere JSSLoader gibi uzaktan erişim Truva atlarını yüklemek için PowerTrash Loader kullandığını gözlemlediğini söylüyor.
Gorelik, “PowerShell komutu, sunucu tarafı şablon enjeksiyonu yoluyla gönderilen doğrudan bir komut olarak yürütülür” diyor. “Komut, sonunda Core Impact arka kapısını dağıtan, karmaşık bir PowerTrash indiricisidir.”
VMWare’in kusur için düzeltme ekini uygulayan kuruluşların buna karşı korunması gerektiğini söylüyor. VMWare’in tavsiyesi, kusurun aktif olarak istismar edildiğini belirtti ve buna karşı hemen yama yapamayan kuruluşlar için tehdidi azaltmak için geçici çözümlere işaret etti.