VMware đã phát hành các bản vá để chứa hai lỗi bảo mật ảnh hưởng đến Workspace ONE Access, Identity Manager và vRealize Automation có thể bị lợi dụng vào các mạng doanh nghiệp backdoor.
Lỗ hổng đầu tiên trong số hai lỗ hổng, được theo dõi là CVE-2022-22972 (điểm CVSS: 9,8), liên quan đến việc bỏ qua xác thực có thể cho phép một tác nhân có quyền truy cập mạng vào giao diện người dùng để có được quyền truy cập quản trị mà không cần xác thực trước.
CVE-2022-22973 (điểm CVSS: 7,8), một lỗi khác, là một trường hợp leo thang đặc quyền cục bộ có thể cho phép kẻ tấn công có quyền truy cập cục bộ nâng cao đặc quyền cho người dùng “gốc” trên các thiết bị ảo dễ bị tấn công.
“Điều cực kỳ quan trọng là bạn phải nhanh chóng thực hiện các bước để vá hoặc giảm thiểu những vấn đề này trong triển khai tại chỗ,” VMware nói.
Tiết lộ sau cảnh báo từ Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) rằng các nhóm mối đe dọa dai dẳng nâng cao (APT) đang khai thác CVE-2022-22954 và CVE-2022-22960 – hai lỗi khác của VMware đã được sửa vào đầu tháng trước – riêng biệt và kết hợp.
Nó cho biết: “Một tác nhân chưa được xác thực có quyền truy cập mạng vào giao diện web đã sử dụng CVE-2022-22954 để thực thi một lệnh shell tùy ý với tư cách là người dùng VMware. “Sau đó, diễn viên đã khai thác CVE-2022-22960 để nâng cấp quyền root của người dùng. Với quyền truy cập root, diễn viên có thể xóa nhật ký, báo cáo quyền và di chuyển theo chiều sang các hệ thống khác.”
Trên hết, cơ quan an ninh mạng lưu ý rằng các tác nhân đe dọa đã triển khai các công cụ hậu khai thác như web shell Dingo J-spy ở ít nhất ba tổ chức khác nhau.
Công ty bảo mật CNTT Barracuda Networks, trong một báo cáo độc lập, cho biết họ đã quan sát thấy các nỗ lực thăm dò nhất quán trong tự nhiên đối với CVE-2022-22954 và CVE-2022-22960 ngay sau khi những thiếu sót được công khai vào ngày 6 tháng 4.
Hơn 3/4 số IP của kẻ tấn công, khoảng 76%, được cho là có nguồn gốc từ Mỹ, tiếp theo là Anh (6%), nga (6%), Úc (5%), Ấn Độ (2%), Đan Mạch (1%) và Pháp (1%).
Một số nỗ lực khai thác được công ty ghi lại liên quan đến các nhà khai thác mạng botnet, với các tác nhân đe dọa lợi dụng các lỗ hổng để triển khai các biến thể của phần mềm độc hại từ chối dịch vụ (DDoS) phân tán Mirai.
Các vấn đề cũng đã khiến CISA phải ban hành chỉ thị khẩn cấp thúc giục các cơ quan nhánh hành pháp dân sự liên bang (FCEB) áp dụng các bản cập nhật trước 5 giờ chiều EDT vào ngày 23 tháng 5 hoặc ngắt kết nối các thiết bị khỏi mạng của họ.
Cơ quan này cho biết: “CISA hy vọng các tác nhân đe dọa sẽ nhanh chóng phát triển khả năng khai thác các lỗ hổng mới được phát hành này trong các sản phẩm VMware bị ảnh hưởng tương tự.
Các bản vá lỗi có mặt trong vòng hơn một tháng sau khi công ty tung ra bản cập nhật để giải quyết một lỗ hổng bảo mật quan trọng trong sản phẩm Cloud Director (CVE-2022-22966) có thể được vũ khí hóa để khởi chạy các cuộc tấn công thực thi mã từ xa.
CISA cảnh báo về việc khai thác tích cực F5 BIG-IP CVE-2022-1388
Không chỉ VMware bị cháy. Cơ quan cũng đã đưa ra một lời khuyên tiếp theo liên quan đến việc khai thác tích cực CVE-2022-1388 (điểm CVSS: 9,8), một lỗ hổng thực thi mã từ xa được tiết lộ gần đây ảnh hưởng đến các thiết bị BIG-IP.
CISA cho biết họ hy vọng sẽ “chứng kiến việc khai thác rộng rãi các thiết bị F5 BIG-IP chưa được vá (hầu hết có cổng quản lý công khai hoặc IP riêng) trong cả mạng của chính phủ và khu vực tư nhân.”
.
