Un actor de amenazas relacionado con Irán conocido como gatito cohete Se ha observado que explota activamente una vulnerabilidad de VMware parcheada recientemente para obtener acceso inicial e implementar la herramienta de prueba de penetración Core Impact en sistemas vulnerables.
Registrado como CVE-2022-22954 (puntuación CVSS: 9,8), el problema crítico se refiere a un caso de vulnerabilidad de ejecución remota de código (RCE) que afecta a VMware Workspace ONE Access e Identity Manager.
Si bien el problema fue reparado por el proveedor de servicios de virtualización el 6 de abril de 2022, la compañía advirtió a los usuarios sobre la explotación confirmada de la falla que ocurre en la naturaleza una semana después.
«Un actor malicioso que explote esta vulnerabilidad RCE obtiene potencialmente una superficie de ataque ilimitada», investigadores de Morphisec Labs. dicho en un nuevo informe. «Esto significa el acceso privilegiado más alto a cualquier componente del entorno virtualizado de host e invitado».
Las cadenas de ataque que explotan la falla implican la distribución de un controlador de etapas basado en PowerShell, que luego se usa para descargar una carga útil de la siguiente etapa llamada PowerTrash Loader que, a su vez, inyecta la herramienta de prueba de penetración, Core Impact, en la memoria para actividades de seguimiento. .
«El uso generalizado de la administración de acceso a la identidad de VMWare combinado con el acceso remoto sin restricciones que proporciona este ataque es una receta para brechas devastadoras en todas las industrias», dijeron los investigadores.
«Los clientes de VMware también deben revisar su arquitectura de VMware para asegurarse de que los componentes afectados no se publiquen accidentalmente en Internet, lo que aumenta drásticamente los riesgos de explotación».