VMware の深刻な RCE 脆弱性 CVE-2022-22954:イランからのバックドア展開を検出

Iranian Hackers Exploiting VMware RCE Bug to Deploy ‘Core Impact’ Backdoor

2022/04/25 TheHackerNews — 先日にパッチが適用された VMware の脆弱性を悪用する、Rocket Kitten というイランに関連する脅威アクターが、脆弱なシステムにイニシャル・アクセスを仕掛け、Core Impact ペンテスト・ツールを展開する様子が観察されている。この深刻な脆弱性 CVE-2022-22954 (CVSS:9.8) は、VMware Workspace ONE Access and Identity Manager に影響を与える、リモートコード実行 (RCE) の欠陥に起因するものだ。

2022年4月6日に VMware により、この脆弱性に対するパッチが適用されたが、その1週間後に悪用が確認されたことで、ユーザーに注意が促されている。Morphisec Labs の研究者たちは、「この RCE 脆弱性を悪用する悪意の行為者は、無制限の攻撃サーフェスを獲得する可能性がある。つまり、仮想化されたホスト/ゲスト環境の、あらゆるコンポーネントでの最高特権アクセスを意味する」と新しいレポートで述べている。


この脆弱性を悪用する攻撃チェーンでは、PowerShell ベースの悪意のインフラが配布され、続いて PowerTrash Loader と呼ばれる次段階のペイロードがダウンロードされ、その後の活動のためのペンテスト・ツール Core Impact がメモリに注入される。

研究者たちは、「VMWare ID アクセス管理は広く利用されているため、この攻撃による自由なリモート・アクセスの組み合わせが生じると、業界全体に壊滅的な侵入をもたらすレシピになる。VMWare ユーザーは、影響を受けるコンポーネントが誤ってインターネット上で公開されないよう、VMware アーキテクチャ見直す必要がある。それは”これは、悪用リスクを劇的に増加させることになる悪手である」と述べている。

この脆弱性 CVE-2022-22954 ですが、4月13日の「VMware の脆弱性 CVE-2022-22954 が FIX:積極的な悪用が観察されている」で詳細が説明されています。その時点において、脅威アクターたちにより、脆弱なホストの積極的なスキャン観測されており、この脆弱性を悪用しようとする試みが、野放し状態であることを検知していると伝えていました。また、CISA の悪用脆弱性リストにも加えたれているとのことです。よろしければ、VMware で検索も、ご利用ください。

%d bloggers like this: