Un acteur menaçant lié à l’Iran connu sous le nom de Chaton fusée a été observé en train d’exploiter activement une vulnérabilité VMware récemment corrigée pour obtenir un accès initial et déployer l’outil de test de pénétration Core Impact sur des systèmes vulnérables.
Suivi comme CVE-2022-22954 (score CVSS : 9,8), le problème critique concerne un cas de vulnérabilité d’exécution de code à distance (RCE) affectant VMware Workspace ONE Access et Identity Manager.
Alors que le problème a été corrigé par le fournisseur de services de virtualisation le 6 avril 2022, la société a mis en garde les utilisateurs contre l’exploitation confirmée de la faille se produisant dans la nature une semaine plus tard.
« Un acteur malveillant exploitant cette vulnérabilité RCE gagne potentiellement une surface d’attaque illimitée », ont déclaré des chercheurs de Morphisec Labs. mentionné dans un nouveau rapport. « Cela signifie un accès privilégié à tous les composants de l’environnement virtualisé de l’hôte et de l’invité. »
Les chaînes d’attaque exploitant la faille impliquent la distribution d’un stager basé sur PowerShell, qui est ensuite utilisé pour télécharger une charge utile de l’étape suivante appelée PowerTrash Loader qui, à son tour, injecte l’outil de test de pénétration, Core Impact, dans la mémoire pour les activités de suivi. .
« L’utilisation généralisée de la gestion de l’accès aux identités VMWare combinée à l’accès à distance sans entrave fourni par cette attaque est une recette pour des violations dévastatrices dans tous les secteurs », ont déclaré les chercheurs.
« Les clients de VMware doivent également revoir leur architecture VMware pour s’assurer que les composants concernés ne sont pas accidentellement publiés sur Internet, ce qui augmente considérablement les risques d’exploitation. »